Schadcode in Webforum

21/04/2014 - 11:44 von Sebastian Suchanek | Report spam
Hallo NG!

Vorweg: Falls jemand eine besser passende NG für das folgende
Thema kennen sollte, dann bitte entsprechend umleiten - Danke.

Nun zum eigentlichen Problem: Ich betreue administrativ ein
relativ gut besuchtes Webforum auf ThWboard-Basis. Letzte Woche
ist dieses leider (erfolgreiches) Ziel eines Angriffs geworden:
Die zentrale index.php wurde mit Fremd- bzw. Schadcode ergànzt.
(Nach aktueller Indizienlage durch Zugang via FTP - wie der
Angreifer an die FTP-Credentials gekommen ist, kann ich z.Zt.
(noch) nicht sagen.)

Der eingeschleuste PHP-Code war mit mehrfachen Iterationen von
Zeichen in Hexadezimal-Schreibweise und base64_encode/decode
sowie gzdeflate/inflate verschleiert. Nach "Entschlüsselung" kam
das dabei heraus:

http://www.suchanek.de/temp/Forensik.txt (43kB)

In Kurzform: Zunàchst eine relativ aufwendige Prüfung auf
irgendwelche anscheinend ungewollte IP-Adressen und danach
Nachladen von weiterem Code von

h**p://javaterm.com/shaman/shaman.php
h**p://javaterm.com/green/backlinker.php

Die erste URL liefert - Stand heute - anscheinend zufàllige
Nonsens-Texte, wie sie für Kommentar- und Gàstebuch-Spam typisch
sind, garniert mit ein paar Spam(?)-URLs.
Die zweite URL liefert - ebenfalls Stand heute - JavaScript-
Code, mit dem ich, ehrlich gesagt, allerdings bislang wenig
anfangen kann.

Der Whois der Domain javaterm.com verweist nach China:

| [...]
| Registrant:
| Name: Private Protection Co.LTD
| Organization: Private Protection Co.LTD.
| Address: NO.1111 Chaoyang Road, Beijing
| City: Beijing
| Province/state: BJ
| Country: CN
| Postal Code: 100000
|
| Administrative Contact:
| Name: Zhuhai Branch
| Organization: Private Protection Co.LTD.
| Address: NO.1 Meihua Road
| City: Zhuhai
| Province/state: GD
| Country: CN
| Postal Code: 519000
| Email: b54534dd7a09cec14dc54023ec24d50f@domain-private.com
|
| Dispute Contact:
| Name: Todaynic.com,Inc.
| Organization: Todaynic.com,Inc.
| Address: 6B XIHAI Building, No.221 Renmin E Road, Xiangzhou
| District,
| City: Zhuhai
| Province/state: GD
| Country: CN
| Postal Code: 519000
| Phone: +86.756-2281763Name Server: ns3.01isp.com
| Name Server: ns4.01isp.net
| [...]

Was mich jetzt hauptsàchlich interessieren würde: Ist dieser
Angriff grundsàtzlich bekannt? Lassen sich aus den vorhandenen
Informationen weitere Erkenntnisse über die Angreifer gewinnen?
Ist diese javaterm.com-Webseite (oder deren Eingentümer) schon
mal irgendwie in Erscheinung getreten? Gibt's dazu evtl. eine
"Krankenakte"?


TIA,

Sebastian
 

Lesen sie die antworten

#1 Florian Weimer
21/04/2014 - 20:31 | Warnen spam
* Sebastian Suchanek:

Was mich jetzt hauptsàchlich interessieren würde: Ist dieser
Angriff grundsàtzlich bekannt? Lassen sich aus den vorhandenen
Informationen weitere Erkenntnisse über die Angreifer gewinnen?



I.d.R. nur durch Ausführen des Angriffscodes in einer geeigneten
Umgebung.

Ist diese javaterm.com-Webseite (oder deren Eingentümer) schon
mal irgendwie in Erscheinung getreten?



Google meint dazu:

| Has this site hosted malware?
|
| Yes, this site has hosted malicious software over the past 90
| days. It infected 160 domain(s), including square-go.com/,
| bagiostenuntroso.com/, square-go.co.uk/.

<http://safebrowsing.clients.google....rm.com>

Mehr Daten gibt es hier:

<https://www.virustotal.com/en/domai...ation/>

Das sieht nicht wirklich freundlich aus. Der Mitbewerb sieht das auch
nicht anders: <http://www.siteadvisor.de/sites/javaterm.com>

Ähnliche fragen