© RioPatuca - Fotolia.com
Derzeit schleicht sich bei diversen Webseiten mit den unterschiedlichsten Scripten ein Trojaner durch Malware in Dateien auf Server/FTP ein, welche diese im Inhalt unbemerkt verändert.
Die ersten Auswirkungen dieses Trojaner zeichnen zunächst durch lahmenden Aufbau der Webseite ab. Gründe für das Lahmen können jedoch nicht durch Checks oder Scans gefunden werden, erst durch Absuchen nach folgenden Codeschnipsel:
if (!isset($sRetry))
Den kompletten Code, welcher sich in in die index.php, index.html, footer.php und evtl. header.php einschreibt kann im Blog “IT Blögg“ und/oder unter Pastebin.com nachgelesen werden.
Auch Paid4Magazin.de war Anfang April davon betroffen, ebenso der Blog Paid4-World.de, was zunächst die Vermutung aufkommen lies, dass lediglich Blogs basierend auf WordPress davon betroffen wurden.
Mittlerweile wurden jedoch unter anderem dieser Trojaner ebenso bei Autoregger und Paidmailern gefunden, so dass nicht ausgeschlossen ist, dass die eigene Webseite davon verschont geblieben wurde, ebenso wie phpmyadmin, mysql dumper. Nahezu jedes PHP- und HTML-Script könnte betroffen sein.
Nach weiteren Informationen und durch das Austauschen untereinander ergaben sich nachfolgenen Erkenntnisse:
Dieser Virus/Trojaner läuft auf Deinem lokalen Rechner oder auf dem Deiner Kollegen. Der eigentliche Code auf dem lokalen System schnappt sich FTP-Zugangsdaten, die er finden kann und loggt sich damit auf die FTP-Server ein. Dort werden die PHP-Files modifiziert – letzten Endes sorgt der zusätzliche Code dafür, dass ein Besucher der Seite sich dann ebenfalls das Schadprogramm von einem anderen Server (der ist in “aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==” kodiert) [http://globalbotupdate.com/stat/stat.php] einhandelt. Mit anderen Worten: Wer auf seinem Server modifizierte PHP-Files entdeckt, sollte definitiv erst einmal auf der eigenen Maschine suchen… Der “Hack” ist bereits seit einigen Wochen bekannt…
(Quelle: Mirko Weiße – Facebook)TOOLS, SCRIPTS & ADDONS zum erkennen, blocken und entfernen für die Infektion (base64 eval hack) unter nackfolgende Kontaktemöglichkeiten:
PC Service – Benjamin Bode oder Paid4Buy.de
LG Benjamin Bode
Des Weiteren ist nicht ausgeschlossen, dass durch das FTP-Tool “Filezilla“ die Zugangsdaten zum FTP ausgelesen werden mittels Logfiles des eigenen PCs bzw. Laptops, da dieses Tool vielfach genutzt wird.
Um diesen den eigenen Befall der Webseite festzustellen, sollte die Dateien vom FTP/Server runtergeladen werden, um im Anschluss daran diese nach oben genannten Codeschnipsel zu durch suchen. Hierzu eignet sich Dreamweaver, Windows-Editor oder Notepad++, da die Windowssuchfunktion diesen Schnipsel nicht erkennt.
Achtung:
Laut Trojaner-Board liest der Virus ggf. Daten aus der Datenbank aus also könnten Email-Adressen, Passwörter, Bankdaten etc. betroffen sein UND/ODER sogar die direkten Eingaben über Anmelde-, Registrierungs-, Login-Formulare etc. !!!
Um ein kompletten Server zu scannen, kann man folgenden Befehl verwenden:
grep -e ‘sRetry’ -R /var/www/
oder
grep -e ‘This code use for global bot statistic’ -R /var/www/
Zum Abschluss sei noch erwähnt – viel Glück beim Aufspüren und Entfernen.
Wir hoffen hiermit einigen geholfen zu haben.