JS:Illredir-W auf Webserver

Hallo,

als ich heute morgen meine Seite aufraufen wollte, auf der ich das CMS Redaxo installiert habe, bekam ich einen PHP Error. Ein Blick in den Quelltext hat auch schnell offenbart, warum: In der letzten Zeile der redaxo index.php war ein Inline Javascript eingefügt, was innerhalb von <?php ?> natürlich nicht funktionieren kann.

Soweit so gut, fragt sich nur, woher der kryptische Javascript kommt! (Kann den Quelltext bei Bedarf gerne mal posten ) Am Tag davor hat die Seite noch funktioniert und der Skript war noch nicht vorhanden. Hab die Datei mal bei VirusTotal checken lassen und auch promt was gefunden. Habe mal ein bisschen bei Google gesucht, aber viel lässt sich dazu nicht finden. Der Trojaner ist in der Avastdatenbank auch erst seit gestern und in der Sophosdatenbank sogar erst seit heute.

Als nächstes habe ich mal das Änderungsdatum der infizierten Dateien angeschaut (index.php im obersten Verzeichnis und index.php in /redaxo/, möglicherweise noch andere). Die letzten Änderungen waren gestern um 22:18:02 bzw. um 22:26:24. Zu dieser Zeit war mein Rechner definitiv ausgeschaltet und er wurde auch erst heute morgen wieder eingeschaltet. Anschließend habe ich mein FTP Log auf dem Server gecheckt (1und1), da waren die letzte Einträge von gestern um ca. 18 Uhr. Über FTP kann der Trojaner also nicht eingeschleust worden sein. Habe noch die CHMOD der entsprechenden Dateien gecheckt, die stehen auf 644.

Wichtig zu wissen ist auch, dass ich kurz vor Weihnachten bereits ein ähnliches Problem hatte, damals hat NOD32 den Trojaner "JS/TrojanDownloader.Agent.NRL" erkannt, der bei Avast wohl "JS:Illredir-C" heißt - bis auf den letzten Buchstaben also der gleiche Name wie bei meinem jetzigen "Problem".

Damals wie heute habe ich Redaxo zu Testzwecken in einem Unterverzeichnis auf dem Server installiert. Interessanterweise sind die restlichen Dateien auf dem Server absolut "clean", da lässt sich kein Schadcode finden. Da scheint es natürlich nicht unwahrscheinlich, dass das ganze irgend etwas mit Redaxo zu tun hat.

Als ich das Problem zum ersten Mal hatte, habe ich das Verzeichnis schlichtweg gelöscht und gehofft, dass das Problem damit gelöst ist (schließlich waren alle anderen Datein auf dem Server wie gesagt ja sauber). Ich habe also keine Passwörter oder dergleichen geändert.

Wie ich herausgefunden habe, öffnet der Trojaner übriegens verschiedene Dateien auf folgendem Server: h**p://aebn-net.adobe.com.sfgate-com.jerseyhomesite.ru:8080/... Ich denke der interessante Teil der URL ist jerseyhomesite.ru:8080, bei Google habe ich aber nur wenig dazu gefunden.

Hat einer von euch eine Idee, wo der Trojaner herkommen könnte/wie er auf den Server kommen konnte? Was sind weitere Möglichkeiten, Nachforschungen anzustellen?

Hoffe sehr, ihr könnt mir irgendwie weiterhelfen! Danke schon einmal vorab!

Gruß
SmolkaJ

 

So pauschal kann man dazu nichts sagen. Ich würde mal darauf tippen, dass es irgendwo in dem CMS eine unsicheren Dateiimport (include, eval o.ä.) gibt, der das Einschleusen und Ausführen von externem Code ermöglicht. Auch möglich, wenn auch sehr unwahrscheinlich, ein Pufferüberlauf in einer veralteten PHP-Funktion. Beide "Angriffe" sollten aber an den Requests im Log des Webservers ausfindig zu machen sein.

 

Hast du eine Idee wo ich dieses Log finden kann? Mein Hoster ist wie gesagt 1und1 und das FTP log hab ich bereits gecheckt (da gab es keine Eintragungen).

 

Fr&#252;her gab es mal einen Ordner "/logs" auf den man per FTP zugreifen konnte.

 

Ja, habs gefunden, hatte die Datei nur zuerst übersehen weil sie archiviert ist.

Genau wie im FTP-Log ist auch im Server-Log nichts verdächtiges zu finden - besonders nicht um die Uhrzeit, zu der die Dateien zu letzt geändert wurden. Wie ist das möglich?

 

Poste einfach mal die Zeilen kurz vor der &#196;nderungszeit (die Domain kannst du ja aus-x-en).

 

Übriegens ist meine Seite auf dem YAML-Framework aufgebaut, falls das Relevant sein sollte.

 

Server Log

Code:

217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /index.htm HTTP/1.1" 304 - www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /Navigation/navigation_mit_such.html HTTP/1.1" 304 - www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /eingang_body.htm HTTP/1.1" 304 - www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
77.186.199.212 - - [23/Feb/2010:21:58:13 +0100] "GET /Dateien/Lehrplan_5_6.pdf HTTP/1.1" 200 51448 www.mypage.de "http://www.google.de/search?client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&channel=s&hl=de&source=hp&q=Musikunterricht+The+Alan+Parsons+Projekt+++++++++++++++++++++++++++&meta=&btnG=Google-Suche" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10" "-"
77.186.199.212 - - [23/Feb/2010:21:58:13 +0100] "GET /favicon.ico HTTP/1.1" 200 1406 www.mypage.de "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10" "-"
24.158.25.194 - - [23/Feb/2010:22:00:38 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:00:45 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:00:56 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:01:15 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.de/search?hl=de&source=hp&q=my+am+page&meta=&aq=f&oq=&safe=active" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:01:17 +0100] "GET /eingang_body.htm HTTP/1.1" 200 7216 www.mypage.de "http://www.google.de/search?hl=de&source=hp&q=my+am+page&meta=&aq=f&oq=&safe=active" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
66.235.124.16 - - [23/Feb/2010:22:11:37 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)" "-"
66.235.124.16 - - [23/Feb/2010:22:11:37 +0100] "GET /profil/sprachenagebot.htm HTTP/1.1" 200 6427 www.mypage.de "-" "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)" "-"
66.249.65.232 - - [23/Feb/2010:22:45:24 +0100] "GET /profil/Galerie/Bilder/Laura-Warken-web.jpg HTTP/1.1" 304 - www.mypage.de "-" "Googlebot-Image/1.0" "-"
93.197.178.36 - - [23/Feb/2010:22:49:47 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.de/search?q=my+am+page+sbr.&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:48 +0100] "GET /favicon.ico HTTP/1.1" 200 1406 www.mypage.de "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:48 +0100] "GET /index.html HTTP/1.1" 301 260 www.mypage.de "http://www.mypage.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /index.htm HTTP/1.1" 200 1356 www.mypage.de "http://www.mypage.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/navigation_mit_such.html HTTP/1.1" 200 6131 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /eingang_body.htm HTTP/1.1" 200 7216 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /home_re.htm HTTP/1.1" 200 426 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Scripts/vorlage-div.css HTTP/1.1" 200 3523 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/menu.css HTTP/1.1" 200 3026 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/menue_gas.js HTTP/1.1" 200 5862 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/navigation.js HTTP/1.1" 200 9006 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/expanded.gif HTTP/1.1" 200 850 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Hochformat.jpg HTTP/1.1" 200 21052 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Bilder_VSE09/Scheckuebergabe.jpg HTTP/1.1" 200 16559 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:00 +0100] "GET /Navigation/slashfiles/linkarrow.gif HTTP/1.1" 200 846 www.mypage.de "http://www.mypage.de/Navigation/slashfiles/menu.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /kontakt/kontakt.html HTTP/1.1" 200 4955 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /Scripts/verdana_td_12.css HTTP/1.1" 200 2416 www.mypage.de "http://www.mypage.de/kontakt/kontakt.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /Scripts/kontakt.css HTTP/1.1" 200 717 www.mypage.de "http://www.mypage.de/kontakt/kontakt.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
67.202.56.227 - - [23/Feb/2010:22:50:20 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:21 +0100] "GET /aktuell/programm-konzert09.html HTTP/1.1" 200 6882 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:22 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:23 +0100] "GET /aktuell/ HTTP/1.1" 403 623 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
207.46.204.237 - - [23/Feb/2010:23:14:39 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 200 124588 www.mypage.de "http://www.google.de/search?um=1&hl=de&rlz=1T4GFRE_deDE362DE362&q=Christiane%20H%C3%BCfner%20Saarbr%C3%BCcken&oq=&ie=UTF-8&sa=N&tab=iw" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 84059 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 3430 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:51 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 26442 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:52 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 22983 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:52 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 9326 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:53 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 126275 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
66.249.65.232 - - [23/Feb/2010:23:24:26 +0100] "GET /profil/Galerie/0_kunst4.htm HTTP/1.1" 200 514 www.mypage.de "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
66.249.65.232 - - [23/Feb/2010:23:24:26 +0100] "GET /Galerie_LK_2006/index.htm HTTP/1.1" 200 4902 www.mypage.de "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

Der letzte &#196;nderungszeitpunkt der betroffenen Dateien war 22:18:02 Uhr bzw. 22:26:24. Die Dateien liegen im Verzeichnis /v2 bzw. /v2/redaxo

 

Also da ist nichts Auffälliges zu sehen. Da v2 aber passwortgeschützt ist, weiß ich gerade nicht, in wie weit die Zugriffe auf das Verzeichnis geloggt werden. Allerdings würde es auch heißen, dass derjenige die Zugangsdaten hätte. Eine andere Möglichkeit wäre der Zugriff per SSH. Damit kann man auch Dateien ändern. Welche Benutzer sich per SSH eingeloggt haben (Rechte vorausgesetzt), lässt sich per

Code:

last

anzeigen.

 

Woher wei&#223;t du, dass v2 passwortgesch&#252;tzt ist? Hast du doch die URL rausgefunden?
Allerdings war v2 gestern um die betreffende Uhrzeit glaube ich nicht passwortgesch&#252;tzt, da ich die .htaccess ausversehen beim FTP Upload &#252;berschrieben hatte. Habe das dann heute mittag korrigiert.

 

Habe mich gerade mal erkundigt und SSH kann auch ausgeschlossen werden, da 1und1 das bei meinem Paket gar nicht anbietet.

 

...die Suchmaschinen wissen alles. [lt]Schau dir das SSH-Log an.[/lt] Mehr kann man per Ferndiagnose nicht sagen. Da ich den Support von 1+1 kenne, verzichte ich darauf, dich auf diesen zu verweisen - kommt eh nichts bei rum.