Fremdcode eingeschleust

[Era W Xel]

Moin,

bisher habe ich immer die Leute ausgelacht, die von irgendwelche Hack-Angriffen betroffen waren....klatsch...

Die Symptome sind einfach erklärt. In allen Index.phps fiindet sich ganz unten ein kleiner JavaScript-Code. Betroffen sind sämtlich index.phps. Außerdem habe ich soeben 2 Redirect-Bildchen gelöscht.

Selbst meine Hauptseite, wo die index.php nur dem Besitzer Lese, Schreib und Ausführrechte gibt (700). Hier fängt es an, mit meinem Verständnis aufzuhören. Auch wie überhaupt Dateien in mein Verzeichnis kopiert werden konnten

Was von meinem Code übrig ist, sieht folgender Maßen aus (also aus Eigenproduktion):

PHP-Code:

<?php     
$result = MYSQL_QUERY("SELECT datei FROM contentsub");

$zeilen = MYSQL_NUM_ROWS($result);  //   2
$spalten = MYSQL_NUM_FIELDS($result); //   10

for ($x=1; $x<=$zeilen; $x++)
{
 $menge = MYSQL_NUM_FIELDS($result);
 for($y=0; $y<$menge; $y++) 
 {
  $feldname = MYSQL_FIELD_NAME($result,$y);
  $request2 = "SELECT $feldname FROM contentsub WHERE cid = $x";
  $result2 = MYSQL_QUERY($request2);
  while($row = MYSQL_FETCH_OBJECT($result2))
   {
       if ($row->$feldname != "Kontakt")  //jaja ich weiß...
         {
     echo '<li><a href="index.php?menu=';
     echo $row->$feldname;
     echo '">';
         echo $row->$feldname;
         echo "</a></li>\n";
         }
         else
         {
         echo '<li><a href="contact.php">Kontakt</a>' . "\n";
         }
        }
         
 }
}
?> 
     </ul>
 </div>
<?php
IF (empty($_GET)) 
{
query_content('Startseite');
}
ELSE 
{
foreach($_GET as $key => $wert) 
 {
@MYSQL_QUERY("SELECT datei FROM contentsub WHERE datei = '$wert'");
IF (mysql_affected_rows() == 0) {
 query_site('oops');
}
ELSE
{
 query_content($wert); 
 }  
 }  
}
?>
...mysql-close

Sinn und Zweck ist, Content aus der MySql-Datenbank zu holen. Aber da kann doch nichts fehlerhaftes im Sinne von Fernkontrolle sein. Der Rest ist nur html.


Problem wird dann ein Projekt, das mit Drupal läuft und mein Blog, der (das??) auch auf einem OpenSrouce Script basiert - bis ich da durchsteige haben die mein FTP-Account gehackt.


Ok, was will ich jetzt hier: Wo kann ich anfangen zu suchen? Oder auch wie, welche Systematik. Worauf muss ich achten bei beschriebener Symptomatik?

Beschämte Grüße und Dank im Voraus
Jo

[maxi89]

Wenn eine der betroffenen Dateien nur durch dich als Besitzer beschreibbar ist, wäre die wahrscheinlichste Ursache ein geknackter FTP-Account.
Eine weitere mögliche Ursache wäre ein kompromittierter Server - also dass die Dateien mit einem root-Account bearbeitet wurden. In beiden Fällen solltest du mal deinen Hoster kontaktieren oder - falls du selber Administrator des Servers bist - selbst die FTP-Logfiles durchgucken. Der Hoster kann über das FTP-Log herausfinden, ob dieser von einem anderen als den gewöhnlichen IP-Ranges benutzt wurde.

Erste Amtshandlung sollte aber sein, dass du dein FTP-Kennwort gegen was absolut kryptisches mit > 14 Zeichen Länge tauschst. Und wenn du es dir ständig aus irgendeiner Textdatei holen musst - das knackt keiner.

Falls sich herausstellt, dass dein Zugang geknackt wurde, solltest du dich fragen, warum das passiert ist. War das Passwort zu einfach? Mir läuft es immer kalt den Rücken runter, wenn ich sehe, dass manche Leute "kreis" oder "tata" als Passwort benutzen. Mindestens zwei Ziffern und gemischte Groß- und Kleinschreibung gelten sogar bei kurzen Passwörtern als relativ sicher, da die meisten Angriffe Wörterbuchattacken sind und dort meist keine Zahlen drin vorkommen.
Falls das Kennwort recht sicher war, hat vielleicht jemand das Passwort übers Netzwerk abgehorcht. Seitdem es an vielen Stellen offene WLANs für den kostenlosen oder auch kostenpflichtigen Internetzugang gibt, setzen sich manche Menschen nämlich gerne auch dahin, schneiden den gesamten Netzwerkverkehr mit und können die Zugangsdaten zu E-Mail-Postfächern, FTP-Servern, Foren etc... mitlesen, sofern diese nicht über eine SSL-Verbindung übertragen werden.

Eventuell hast du auch irgendwo eine PHP-Shell in deinem Webspace rumfliegen.
Lade doch mal einfach alle Dateien herunter, die dort liegen. Bei den c99-Shells fangen nämlich praktisch alle Virenscanner an zu kreischen

Btw Virenscanner: Natürlich kann auch einfach dein eigenes System kompromittiert sein und dadurch gespeicherte FTP-Kennwörter aus Programmen oder dem Netzwerktraffic mitgeschnitten worden sein. Auf jeden Fall solltest du mit einer aktuellen Virenscanner-Signatur mal über die Platten gucken lassen.

[Era W Xel]

Oha! Damit hätte ich jetzt nicht gerechnet Ich habe mich darauf eingestellt, alle Scripte durchsuchen zu müssen...

Ok. Ich bin leider nur "User" bei einem Hoster, der mich übrigens auf den Missbrauch aufmerksam machte. Passwort habe ich gerade mal geändert - leider nur 20-stellig ohne Sonderzeichen. Die FTP-logs werde ich gleich mal anfragen.

Was mir noch einfällt: ich nutze zur Ftp-Verwaltung den TotalCommander (früher WindowsCommander). Ist so ein Multi-Tool für Dateimanagement u.ä. Sollte ich da auf was 'stand-alonigeres' umsteigen oder machen die eh alle nur dasselbe?

Bezüglich des WLANs. Glaube ich fast nicht. Ich bin da sehr paranoid und läuft auch WPA2. Ich check trotzdem mal die Logs. Waaa, mein System kompromiert??! Hu, da läufts mir eiskalt den Rücken runtern. Werde mal den Wireshark und Co. rauskramen.

Öhm..PHP-Shell wie sieht denn so eine Datei aus - also .exe oder .com gibt es nicht zum Glück.

Gruß
Jo


update: scheiße, ich glaube mein totalcommander wurde gehackt. dort verwalte ich noch einen anderen ftp-account, wo noch eine index.html manipuliert wurde.

[maxi89]

Ist so ein Multi-Tool für Dateimanagement u.ä. Sollte ich da auf was 'stand-alonigeres' umsteigen oder machen die eh alle nur dasselbe?

FTP ist FTP, ein anderes Programm wird da auch das selbe machen müssen
Ich benutze SmartFTP (kostet halt ein bisschen), aber dafür kann ich auf mehreren Servern dank Tabs gleichzeitig rumsurfen.

Bezüglich des WLANs. Glaube ich fast nicht. Ich bin da sehr paranoid und läuft auch WPA2. Ich check trotzdem mal die Logs.

Hatte auch eher auf die Nutzung eines fremden WLANs abgezielt, wenn du z.B. mal von unterwegs über ein Hotel-WLAN drauf zugegriffen hast.

Öhm..PHP-Shell wie sieht denn so eine Datei aus - also .exe oder .com gibt es nicht zum Glück.

Eine PHP-Shell ist eine normale .php-Datei, die meist irgendwo in Verzeichnissen auftaucht, in denen der Webserver Schreibrechte hat. Diese Dateien bieten Angreifern aber die Möglichkeit, durch das Dateisystem zu browsen, Dateien dadurch auch zu lesen, MySQL-Datenbanken zu durchsuchen etc...
Aber sie werden von den meisten Virenscannern als Backdoor "C99Shell" erkannt. Wenn du also praktisch einmal alle Dateien herunterlädst, wird der Virenscanner im Zweifelsfalle anschlagen.

update: scheiße, ich glaube mein totalcommander wurde gehackt. dort verwalte ich noch einen anderen ftp-account, wo noch eine index.html manipuliert wurde.

Oha. Sind die Zugangsdaten vielleicht noch an einer anderen Stelle gespeichert gewesen?

[Era W Xel]

Ja, du sagst es! Die FTP-Daten hatte ich nur per copy+paste vom Web-Interface in den TotalCmdr eingefügt (dank sei meiner Faulheit ). Gerade auch alles komplett runtergeladen - AV hat nicht angeschlagen (Avira). Ich werde mal sehen, ob mir der Hoster was zu den FTP-Logs sagen kann, dann werde ich an den TotalCmdr Support ne Anfrage schicken. Kompletter SystemScan steht heute gegen 16 Uhr an... Bin gespannt was rauskommt

Achso neuer FTP-Client ist FileZilla. Ist ne gute Alternative zum TotalCmdr auch wenn man auf "F5" verzichten muss

[Torsten]

Also die Software mit der Du Dich zum FTP verbindest die musst Du nicht wechseln.
Ich war auch immer ein Fan vom Total-Commander, jetzt auf Mac macht der nun keinen Sinn mehr

Schaff Dir lieber ein sicheres PW an und speichere das nirgends auch in keiner Textdatei!

Man kann sich z.B. ein PW z.B. 7stellig aus großen und kleinen Buchstaben sowie zahlen generieren und dieses quasi als Master-PW benutzen.

Sagen wir das PW wäre a9B32cd - nun könnte man dem PW jeweils den Zweck voran stellen, also z.B. FTP - dann sähe es schon einmal so aus FTPa9B32cd
Und nun hängt man noch den Kundennamen hinten dran also z.B. FTPa9B32cdmueller

Somit hättest Du immer unterschiedliche PWs man bräucht diese aber nirgends zu notieren, da man diese im Kopf zusammenbaut

[Adromir]

@Era: Falls du doch wechseln möchtest, dann könnte WinSCP eine alternative sein. Ansonsten Finde ich auch Netdrive (für den kommerziellen Einsatz kostet es was) auf Windowssystem sehr "schick". Leider hapert es im Moment an der 64Bit unterstützung..

[Dome]

@Torsten: Das Problem ist, dass wenn irgendjemand warum auch immer erst 2 oder 3 solcher Passwörter kennt könnte er leicht die anderen erraten. Aber im Prinzip ne gute Idee ;-)

@Adromir: WinSCP kann ich nur empfehlen! Macht auch mit S-FTP usw. keine Probleme ^^

@Era W Xel: Wenn es nicht der einzige "gehackte" Account ist würde ich fast auf ein Trojaner tippen, evtl. ein Root-Kit...

[Torsten]

Den würde ich ergänzend noch empfehlen http://www.bluegras.de/Service/Hotti...sGenerator.cfm

[Era W Xel]

so, ich noch mal. wollte mir die sache mal länger anschauen. bisher alles gut.

die FTP-logs haben den fremdzugriff bestätigt. naja, zwar ist der totalcmdr support gar nicht erst auf eine mögliche sicherheitslücke eingegangen und hat das definitiv auf was trojaner-mäßiges geschoben...hm..so richtig überzeugend war das aber nicht.

ich habe per linux live cd alles komplett durchgescannt, wichtige systemprozesse auf virustotal überprüft, mit process-monitor mögliche schädlinge gesucht - ohne Befund. da sich das ganze wirklich nur im totalcmdr abgespielt hat, reicht mir das nicht fürn format c. zudem viel interesantere daten über meinen browser fließen (paypal, bank, usw.).

p.s. hab auch noch einen passwort trick: ein 1 mal gemerktes passwort einfach 2 mal eingeben