Mein Blog wird auf eine Malware Site umgeleitet

[Jochen Hoff]

Seit gestern Nachmittag wird http://www.duckhome.de auf eine Malwaresite umgeleitet. Dies tritt bei allen Aufrufen von Google aus auf. Ich habe feedburner im Verdacht, aber das muss quatsch sein, weil es ja auch bei den news auftritt. Irgendjemand eine Idee?

[yellowled]

Seit gestern Nachmittag wird http://www.duckhome.de auf eine Malwaresite umgeleitet. Dies tritt bei allen Aufrufen von Google aus auf.

Ich nehme an, die betreffende URL ringostart.osa.pl sagt Dir gar nichts, Du hast keinen externen Dienst von dieser Domain eingebunden oder sowas? Es findet sich ja auch kein Hinweis darauf im Quelltext des Blogs. Für mich - aber ich bin kein Sicherheitsexperte - stinkt das nach Hackerangriff.

Sehe ich dazu, dass Du noch s9y 1.5.4 fährst, würde ich sagen: Ganz schnell auf 1.5.5 updaten und vor allem die entsprechenden Hinweise durchführen. Siehe:

http://blog.s9y.org/archives/224-Import ... eased.html

Hier im Forum stehen ebenfalls zig Posts dazu, was zu tun ist, falls man Opfer dieser Sicherheitslücke wurde, einfach mal nach „gehackt“ suchen. Mich würde nicht wundern, wenn das auch Deinen msyteriösen Trafficanstieg erklärt.

YL

[Jochen Hoff]

Yepp. Jede Menge Einträge. Nach der Neuinstallation scheint auch alles ok zu sein. Aber eine blöde Frage habe ich noch. Wie kann ich auf einem Server auf dem ich keine Root-Rechte habe, herausfinden welche Dateien noch infiziert sein könnten?

[Timbalu]

In dem du weißt, welche Daten von dir selbst geändert wurden, wie templates, .htaccess, serendipity_config_local.inc.php, etc und von dir hinzugefügt wurden, wie /plugins/, /uploads/,etc.
Oft hilft nur noch ein direkter Vergleich zwischen einem Serendipity Release und allen vorhandenen Dateien und Ordnern, per ftp oder lokalem Diff.
Kennt man den ersten Teil - also seine eigenen und hinzugefügten Dateien - genau, kann man das alte Serendipty löschen und das neue neu aufspielen. Die DB sollte man zwar überprüfen, doch ist mir bisher kein Fall bekannt, in dem Daten darin verändert wurden, so dass du eventuell mit dieser Methode am sicheren Ende bist.

[yellowled]

Oft hilft nur noch ein direkter Vergleich zwischen einem Serendipity Release und allen vorhandenen Dateien und Ordnern, per ftp oder lokalem Diff.

Könnten wir nicht -- Frage an die Coder -- den integrity check dahingehend erweitern, Dateien gesondert anzuzeigen, die nicht zu einer s9y-Installation gehören? Oder tut der integrity check das womöglich sogar schon? (Dass man dann noch mit Hirn 1.0 filtern muss, was ggf. schädlich ist, ist klar.)

YL

[Jochen Hoff]

Hirn ist eh nicht im richtigen Lauf im Moment. Eine Automatik wäre klasse

[yellowled]

Eine Automatik wäre klasse

Das Problem dürfte sein, dass eine (Voll-)Automatik z.B. auch Uploads in die Mediendatenbank oder eigene Templates als „gehört nicht dazu“ einstuft. Ich wüsste nicht, wie der integrity check potenziell schadhafte Dateien erkennen können sollte -- aber ich bin ja auch kein Coder.

YL

[Timbalu]

Die Sache ist doch die, dass jedes Serendipity Release eine checksum Datei inkludiert, die mit den vorhandenen Dateien per md5 abgeglichen wird. Daraus müsste man nun herausfiltern welche Dateien außerhalb dieses Abgleiches noch zu finden sind. Das würde eine Aufzählung ergeben, die immer noch Hirn 1.0 oder höher benötigt. IMHO kann man automatisch keine weiteren Dateien herausfiltern, die eventuell verändert wurden, da man kein Vergleichs-array hat. Man kommt als kaum umhin, zu wissen was man selbst hinzugefügt hat, im einen wie anderen Fall.

[Jochen Hoff]

Es würde ja schon reichen, wenn man automatisch feststellen könnte was nicht zu serendipity gehört. Den Rest kann man dann untersuchen.

[Timbalu]

Ich habe dazu ein Plugin geschrieben.
Wenn dir dazu noch etwas einfällt, bitte hier:
http://board.s9y.org/viewtopic.php?f=4&t=17755&start=0

Sonst viel Spaß damit!

[Jochen Hoff]

Nach dem upgrade hatte ich ein paar Tage Ruhe, aber nun geht der Circus wieder los. Ich bin am verzweifeln.

[Timbalu]

Hi

Was und Wie genau? Liste die Dateien nocheinmal auf und poste sie eventuell (abzüglich der selbst installierten!) hier (vielleicht auch nur die neuer als 28.05.11, dem Datum deines Upgrades). Was sagen die Server Logs?

Am sichersten erscheint mir in deinem Fall aber immer noch die Methode des Backups aller selbst geänderten und hinzugefügten Dateien mitsamt config_local.inc.php, manuelles Löschen aller Dateien und Ordner und vollständige Neu-Aufspielen. Dann nach und nach die backup Daten zurückbringen.

Hast du eventuell noch irgend etwas anderes als die Serendipity Installation auf deinem Webspace? Es gibt immer die Möglichkeit einer anderen Verwundbarkeit, falscher FTP Rechte, etc.

[Jochen Hoff]

Mein Hoster, Bernd Holzmüller hat gerade den Fehler gefunden. In der config_local.inc.php steckte ein Schadcode. eval(base64_decode(....)); Dadurch wurden alle von Twitter, Facebook oder Google kommenden Aufrufe umgeleitet. Vielen Dank für eure Hilfe.

[Timbalu]

Interessant wäre gewesen, wann genau die Datei geändert wurde, vor oder nach 1.5.5.
Ich werde versuchen mal einen Check auf eval... zusätzlich in das verify plugin einzubauen.