Website mit iframe infiziert - PC / Mac kompromittiert (FTP Daten gestohlen)

#0
14.04.2013, 10:49
...neu hier

Beiträge: 6
#1 Hallo,

unsere Website wurde gehackt und in alle index.php Dateien auf dem Server via iframe Malware injiziert, sodass Google unsere Seiten mit einem Malware Hinweis versehen hat.

Code

<iframe src="**Malwareseite**" width="1" height="1" frameborder="0"></iframe>

Malware Seite lautete: hxxp://protocolmindm.com/img2/count.htm **nicht besuchen!**)
Ähnliche Vorfälle mit derselben Malware sind hier zu finden:
- http://www.trojaner-board.de/133587-website-infiziert-vorgehen.html#post1045531
- http://www.joomlaportal.de/joomla-2-5-sicherheit/294895-malware.html
- http://www.boerse.bz/netzwelt/webmaster/1435350-protocolmindm-website-infiziert.html

(Ein User dort behauptet es sei iLivid Malware gewesen → AdwCleaner hat bei uns allerdings nichts gefunden)

Tatvorgang
Laut Server Logfiles hat sich zum Tatzeitpunkt (Timestamp geänderte Dateien) via FTP ein Server/Hacker aus Italien mit der IP 77.238.8.69 eingeloggt und die Dateien (index.php in allen Ordnern) modifiziert.
Der Server hatte sonst keine Besuche auf dem Server, daher vermute ich, dass dieses vollautomatisch geschehen ist.
http://support.google.com/webmasters/bin/answer.py?hl=de&answer=163634 haben wir durchgeführt. ... allerdings geht es nun um die Infektionsquelle:

Gretchenfrage, wie sind die FTP Daten geleakt?
- Wir haben bis heute nur FTP verwendet - Sniffing? Wie wahrscheinlich? (ist nun SFTP mit geänderten Zugangsdaten)
- Wir verwenden 2 Mac OS 10.8.3 Systeme (haben gerade mit Antivir einen Scan durchgeführt )
- Wir verwenden ausserdem einen Windows Rechner? (mit Filezilla)
- Filezilla ist möglicherweise die Infektionsquelle für die iframe Malware: http://blog.unmaskparasites.com/2009/09/01/beware-filezilla-doesnt-protect-your-ftp-passwords/

• → Was können wir noch tun um unsere Mac OS Systeme zu prüfen?
• → Wie können wir den Windows Rechner prüfen und analysieren?

Vielen Dank für jede Hilfe und Analyse!
Kirsten
Dieser Beitrag wurde am 14.04.2013 um 10:59 Uhr von Kirsten6 editiert.
Seitenanfang Seitenende
14.04.2013, 15:19
Member
Avatar Xeper

Beiträge: 5285
#2 Ich möchte mal vor allem hierauf verweisen:
http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html

Du hast ja nichts über den Webserver ansich gesagt, aber Apache ist sicherlich sehr verbreitet.
Was für ein Webserver läuft auf der Maschine, in welcher Version?

Zitat

Ähnliche Vorfälle mit derselben Malware sind hier zu finden:
Woher weißt du das, weil die Malwareseite die selbe ist?
Was für eine Webseite habt ihr, benutzt ihr irgendwelche Frameworks -
wenn ja welche? In welcher Version?

Zitat

- Wir haben bis heute nur FTP verwendet - Sniffing? Wie wahrscheinlich? (ist nun SFTP mit geänderten Zugangsdaten)
Sniffing glaube ich mal eher weniger, jedenfalls ist die Wahrscheinlichkeit nicht so hoch.
Ich würde da schon eine Sicherheitslücke im Server selber in Betracht ziehen, klar kann auch das passwd geleakt sein aber Bruteforce ist schon anstrengend - 0day exploits sind da wahrscheinlicher.
FTP hat nichts mit SFTP zu tuen, zweiteres verläuft über SSH.

Zitat

- Wir verwenden 2 Mac OS 10.8.3 Systeme (haben gerade mit Antivir einen Scan durchgeführt )
...
• → Was können wir noch tun um unsere Mac OS Systeme zu prüfen?
Naja Mac OS X halte ich bis heute noch für ein sehr sicheres System,
denke nicht das du hier suchen musst.

Zitat

- Filezilla ist möglicherweise die Infektionsquelle für die iframe Malware: http://blog.unmaskparasites.com/2009/09/01/beware-filezilla-doesnt-protect-your-ftp-passwords/
Ja klar wenn die Windows Kiste kompromitiert wurde, gab es denn anzeichen dafür?

Zitat

• → Wie können wir den Windows Rechner prüfen und analysieren?
Siehe: http://board.protecus.de/t40182.htm
Auf trojaner-board.de wird es ähnliches geben, bitte keine crosspostings.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.04.2013, 11:01
...neu hier

Themenstarter

Beiträge: 6
#3

Zitat

Ich möchte mal vor allem hierauf verweisen:
http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html
Wir haben zum Tatzeitpunkt in unserem FTP Log:

Code

Fri Apr 12 00:46:14 2013 0 77.238.8.69 12965 /www/htdocs/index.php b _ o r ftp-login ftp 0 * c
etc.

Zitat

Was für ein Webserver läuft auf der Maschine, in welcher Version?
Server Version: Apache/2.2.23 (Ubuntu) PHP/5.3.18-nmm1 with Suhosin-Patch mod_ssl/2.2.23 OpenSSL/0.9.8k

Zitat

Woher weißt du das, weil die Malwareseite die selbe ist?
Was für eine Webseite habt ihr, benutzt ihr irgendwelche Frameworks -
wenn ja welche? In welcher Version?
- Ja, dieselbe Malwareseite zum selben Zeitpunkt wie die anderen WebsiteHack Berichte.
- Wir verwenden nur selbst geschriebene Software mit einem besonderen Augenmerk auf Sicherheit.

Zitat

Ja klar wenn die Windows Kiste kompromitiert wurde, gab es denn anzeichen dafür?
Leider nein, wir haben bisher Malwarebytes und Co durchlaufen lassen... ohne Ergebnisse...
http://board.protecus.de/t40182.htm arbeiten wir mal durch.

Erstmal vielen Dank für Deine ausführliche Antwort!!
Seitenanfang Seitenende
15.04.2013, 11:13
Member
Avatar Xeper

Beiträge: 5285
#4

Zitat

Server Version: Apache/2.2.23 (Ubuntu) PHP/5.3.18-nmm1 with Suhosin-Patch mod_ssl/2.2.23 OpenSSL/0.9.8k
...
- Wir verwenden nur selbst geschriebene Software mit einem besonderen Augenmerk auf Sicherheit.
Na dann wird der Server doch schon der Ursprung des Problems sein, Ubuntu eignet sich sowieso nicht besonders gut als Server OS.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.04.2013, 11:29
...neu hier

Themenstarter

Beiträge: 6
#5

Zitat

Xeper postete
Na dann wird der Server doch schon der Ursprung des Problems sein, Ubuntu eignet sich sowieso nicht besonders gut als Server OS.
Woher schliesst du das? Schliesslich sind ja eindeutig irgendwie die FTP Daten irgendwo geleakt.
Die Malware Erklärung wäre hier die üblichste.
Seitenanfang Seitenende
15.04.2013, 11:42
Member
Avatar Xeper

Beiträge: 5285
#6

Zitat

Woher schliesst du das? Schliesslich sind ja eindeutig irgendwie die FTP Daten irgendwo geleakt.
Ein FTP Login bedeutet nichts anderes als das was es ist, der Server kann auch schon vorher irgendwie kompromitiert worden sein - wenn es nur ein leak wäre würde ich sagen - ok passwd ändern und alles ist gut.
Ich glaube aber nicht das es damit getan sein wird... oder habt ihr das schon probiert?

Edit:
Ich habe da so meine Erfahrungen - es gibt hier noch ein anderen Thread:
http://board.protecus.de/t42637.htm#359542

Nach meiner Meinung sollte die Administration eines Servers nicht in die Hände von Unwissenden gelegt werden,
andere Themen wie diverse XSS/Framework etc. Attacken kann man im Grunde auch schon vorher ausschließen.
Eine Kompromitierung ist im Grunde nur der Indikator dafür, dass man es irgendwo an irgendeiner Stelle nicht konsequent gemacht hat.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.04.2013, 13:03
...neu hier

Themenstarter

Beiträge: 6
#7

Zitat

Ich glaube aber nicht das es damit getan sein wird... oder habt ihr das schon probiert?
klaro, wir haben alle Dateien in denen via FTP geschrieben wurde korrigiert (Malware entfernt).
SSH Umgebung entfernt und neu aufgesetzt sowie alle Zugangsdaten Daten geändert.
Den Zugang zu dem Live System hat nun nur noch einer + alle FTP Zugänge sind gelöscht und es gibt nur noch via SSH Schlüssel Zugang.
Bisher ist noch keine Neuinfektion geschehen und ich hoffe natürlich, dass das so bleibt.

Auf dem Windows Rechner haben wir bisher "leider" noch keine Malware gefunden.
Seitenanfang Seitenende
15.04.2013, 13:07
Member
Avatar Xeper

Beiträge: 5285
#8

Zitat

Auf dem Windows Rechner haben wir bisher "leider" noch keine Malware gefunden.
Aha, naja wie gesagt wird vielleicht auch gar keine drauf sein.

Zitat

klaro, wir haben alle Dateien in denen via FTP geschrieben wurde korrigiert (Malware entfernt).
SSH Umgebung entfernt und neu aufgesetzt sowie alle Zugangsdaten Daten geändert.
Hoffen wir das es ausreicht, ein sicherer Server ist ja das A und O.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
16.04.2013, 21:14
...neu hier

Themenstarter

Beiträge: 6
#9 ich verlinke mal folgendes Thema von hier: http://board.protecus.de/t42679.htm
Da es auch etwas mit meinem Problem zu tun hat.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: