FTP Virus - imgaaa.net

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • FTP Virus - imgaaa.net

    guten tag...

    ich habe so eben als ich das design von meiner internetseite ändern wollte im index.php das hier gefunden:

    Quellcode

    1. <img heigth="1" width="1" border="0" src="http://imgaaa.net/t.php?id=5231331">



    Ich benutze wordpress und beim googlen komm ich auf englisch sprachige seiten.Kann leider kein englisch :S kann mir jemand helfen ? Betrifft das jetzt nur der server oder wurde auch mein pc gehackt.

    UPDATE
    achso und wie kann ich herausfinden woran es lag. Ich benutze immer die neusten versionen von den scripts.
  • Wie du dir vermutlich denken kannst, gibt es tausende Sachen, die Schuld sein könnten.
    Lokaler PC, Wordpress, Wordpress Plugin.

    Erstmal herauszufinden ob dein PC oder dein Webspace betroffen ist ein guter Ansatz.
    Dein lokaler PC könnte verseucht sein, und du könntest die versuchte Datei hochgeladen haben.
    Dein Wordpress könnte gehackt worden sein und du könntest die Datei heruntergeladen haben.
    Hast du denn überhaupt eine lokale Version, ist der "Hack" in beiden Versionen vorhanden, wann sind die Änderungszeitstempel der Dateien?
    Befindet sich der Code direkt in einer PHP/HTML Datei oder siehst du die Ausgabe nur wenn du deine Webseite betrittst.

    Der beste Weg die Ursache zu finden ist in der Tag Google.

    UPDATE: Such mach: [google]http://imgaaa.net/[/google]
    Wenn wenn den Forenbeiträgen von hier glaubt, dann ist in der Tat dein lokaler PC betroffen und dein FTP Passwort ist gestohlen.

    Also:
    * Ändere ALLE deine FTP Passwörter
    * entferne ALLE entsprechenden stellen in deinem PHP Code (suche nach imgaaa.net)
  • Hallo nochmal,

    weiß immer noch nicht woran es lag. Ich habe inzwischen backups gemacht,von der "gehackten" version meiner seite. Und bin dabei meinen PC zu formatieren,danach werde ich die passwörter nochmals ändern.


    Ich habe diesen <img..> tag in allen index.php daten von meiner seite gefunden. Irgendwie muss er sie da eingefügt haben. Ausserdem befindet sich auf dem server eine "versteckte" .log Datei,die ich sehr spät gesehen habe. Darin waren viele html daten. Als ich sie geöfnet hatte hab ich einfach verschiedene bilder gesehen auf klcik wurde ich auf eine 29.php weitergeleitet die mri weiterhin bilder gezeigt hat. Die datei 29.php ist verschlüsselt und habe mittels echo es auch nicht "entschlüsseln" können. Es waren Bilder,die auf anderen ebenfalls wordpress seiten gehostet sind. Keine "xxx" Bilder sondern irgendwelche von einer willkürlichen internetseite. Alle Seiten haben nichts miteinander zu tun. Ich benutze sowohl linux als auch windows auf meinem pc,also parallel. Ich kann mich erinern als ich mal,wirklich nur einmal, das ftp programm auf windows gestartet habe um schnell etwas zu ändern :)... Was ich eigentlich nur auf linux tue. Hätte ich nicht tun sollen,wenn es ein trojaner ist und der server nicht gehackt worden ist müsste die verseuchte datei so hochgeladen worden sein.

    Ich habe aber auch natürlich mal den pc gescannt mit der kostenlosen version freeavg.com hat nichts gefunden...???
  • keine ahnung.Bin da nicht so fit. Bin bei ovh.de angemeldet. Auf einem shared hosting...



    GET /29.php?q=contracting-business&page=2 HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +google.com/bot.html)"
    01/Apr/2011:16:10:34 +0200] "GET /29.php?q=contracting-business&page=4 HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +google.com/bot.html)"
    [01/Apr/2011:16:09:12 +0200] "GET /29.php?q=cohen-davis&page=7 HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +google.com/bot.html)"
    01/Apr/2011:16:10:54 +0200] "GET /29.php?q=cohen-davis&page=5 HTTP/1.1" 404 180 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +google.com/bot.html)"
  • imgaaa attacke

    Hi,

    wir sind auch davon betroffen daher hab ich mir das heute genauer angesehen.

    Es handelt sich um einen Angriff in 2 Stufen:

    Stufe 1: In alle Dateien mit dem Namen index.html oder index.php wird der o.a. code eingefügt. (Die ID Nummer ändert sich). Vermutlich handelt es sich um einen Trojaner der die Passwörter aus vorhandenen FTP Programmen ausliest. Mein Tipp geht auf diesen hier: avira.com/en/support-threats-description/tid/3488/tlang/de ich kann es aber nicht 100% bestätigen.

    Stufe 2: Zu einem späteren Zeitpunkt findet der eigentlich Einbruch statt. Es werden Dateien mit dem Namen 26.php oder 32.php (immer zwei ziffern) hochgeladen und eine .htaccess angelegt die so aussieht:

    Quellcode

    1. <IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule ^(.*)$ /wp-admin/26.php?q=$1 [L]</IfModule>



    Dadurch wird bei einem harmlosen (scheinenden) Seitenaufruf diese php datei ausgeführt. Das PHP script entpackt einen binär string und führt diesen aus. Der Code sieht verkürzt so aus:

    Quellcode

    1. <? eval(gzuncompress(base64_decode('eNqdWNtuGkkQ...../vjH/43wu8g='))); ?>


    Wenn wir mehr wissen, poste ich es hier.

    Gruss

    Sven
  • genau das ist bei mir passiert... die lücke scheint neu zu sein ??


    Und wie kriegt man diesen Trojaner auf den PC?

    @sven soltest du es noch nicht gesehen haben. Auf dem Server befindent sich zusätzlich ein verstecker Ordner ".log". In diesem Ordner befinden sich wiederum viele html Dateien die auf 18.php weiterleiten....

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von holand ()

  • Imgaaa Attacke

    holand schrieb:

    genau das ist bei mir passiert... die lücke scheint neu zu sein ??


    Kann ich bestätigen - alle anderen Angriffe von denen ich gehört habe waren in den letzten 5-10 Tagen.

    holand schrieb:

    Und wie kriegt man diesen Trojaner auf den PC?


    Wissen wir noch nicht - wir können aber mit ziemlicher Sicherheit sagen, dass es der oben genannte Trojaner war und das Aviva Antivir Free ihn gefunden hat. Was ich bsiher zum dem Trojaner gefunden hab deutet auch auf eine zumindestens neue Variante hin.

    holand schrieb:

    @sven soltest du es noch nicht gesehen haben. Auf dem Server befindent sich zusätzlich ein verstecker Ordner ".log". In diesem Ordner befinden sich wiederum viele html Dateien die auf 18.php weiterleiten....


    Verzeichnis gefunden - Keine Dateien angelegt. Das könnte darauf hinweisen, dass die manuell da rein gehen? Eher ungewöhnlich....

    Sven
  • kse schrieb:

    naja wenn man alle eingabefelder ordentlich escaped hat man das problem nicht, weil dann bekommen sie den code nicht eingebunden, außer sie bekommen vorab zugriff auf den ftp
    Nein, es ist ein kein SQL injection Angriff. Es kommt über einen Trojaner den man sich einfängt. Der liest die Passwörter aus den gängigen FTP Programmen aus (Filezilla u.a.) und verbindet sich dann mit deinem Server. Dort fügt er in jeder index.html oder index.php den html code ein.

    Wenn jemand deine Seite besucht wird diese index.* aufgerufen und dabei eine Anfrage nach dem image auf imgaaa.net ausgeführt. Dadurch erfahren die Hacker welche URL erfolgreich infiziert wurde.

    Zirka einen Tag später benutzen die, die geklauten Passwörter und installieren ein Script nn.php (nn = eine zweistellige Zahl) und .htaccess Dateien - Dieses Script enthält binären Code der dann ausgeführt wird. Den Binärcode hab ich seit heute morgen entschlüsselt vorliegen, aber ich hab ihn mir noch nicht angesehen.

    Gegenmaßnahmen:
    a) Den eigenen PC und alle PC's von Personen die, die FTP Passwörter hatten nach Trojanern durchsuchen. In unserem Fall hat AVIRA (free) den Trojaner (TR/Crypt) gefunden und unschädlich gemacht. Es handelt sich um eine neue Variante eines alt bekannten Trojaners (seit 2007) - Er müssten von allen gängigen Antiviren Programmen gefunden werden.
    Vorsicht (1): Auf gar keinen fall nach "Trojaner Software" googlen und irgendwas runterladen was man nicht kennt! - So kommen Trojaner auf den Rechern.
    Vorsicht (2): Bitte nach "lizamoon" googlen - das ist ein groß angelegter Angriff der Zur Zeit läuft und die Angst vor Trojanern ausnutzt, Nicht darauf reinfallen!!b) Nachdem man den Trojaner gefunden und unschädlich gemacht hat alle Passwörter auf den Servern ändern.c) Auf dem Server alle index.htm, index.html und index.php Dateien suchen und den betreffenden Code am Ende jeder Datei entfernen.d) Den Server nach 26.php (oder andere Zahl) durchsuchen und diese Dateien löschen. Ebenfalls suchen nach versteckten Verzeichnissen die ".log" heißen. Diese ebenfalls löschen.Viel GlückSven
  • Svenny schrieb:

    Nein, es ist ein kein SQL injection Angriff. Es kommt über einen Trojaner den man sich einfängt. Der liest die Passwörter aus den gängigen FTP Programmen aus (Filezilla u.a.) und verbindet sich dann mit deinem Server. Dort fügt er in jeder index.html oder index.php den html code ein.


    von SQL injection hab ich auch nichts gesagt. meine aussage zielte eher in Richtung XSS ab.