Analyse einer gehackten WordPress-Seite

Gestern Nachmittag wurde der Computer eines Kunden / einer Kundin gehackt und mit Schadsoftware verseucht. Es konnte dabei unter anderem ein Exemplar des sogenannten “System Check Virus” identifiziert werden. Auf dem Rechner war Windows 7 mit Microsoft Security Essentials eingerichtet. Kurz nach der Infizierung wurde über das auf dem Computer installierte ICQ versucht den EXP/JAVA.Niabil.Gen Exploit an sämtliche Kontakte zu verteilen. Im gleichen Moment kam es dann auch noch dazu, dass alle Webseiten des Kunden / der Kundin plötzlich partiell ausfielen. Man konnte meist noch einen Header und ein Navigationsmenü sehen, das war dann aber auch schon alles.

 Um den Computer wieder in Stand zu setzen, wurde daraufhin empfohlen [Auszug]:

  1. Zugang zum Internet physisch zu trennen
  2. Installation und Aktualisierung von Avira Antivirus 2012 Premium Edition
  3. Kompletten Systemcheck von Avira Antivirus 2012 Premium Edition durchführen zu lassen
  4. Die Software auf dem System zu aktualisieren
    (Windows, JAVA, Mozilla Firefox, Chrome, … etc.)
  5. (Sämtliche) Passwörter zu ändern

Die Analyse der mit “eva1fYlbakBcVSir” gehackten WordPress-Webseite im Detail

Ich bat darum mir die geänderten Dateien auf dem WordPress-Blog für eine Analyse zukommen zu lassen. Den Quellcode darf ich auf Grund § 202a StGB hier nicht (vollständig) posten, weshalb ich auch nur ganz grob darauf eingehen werde.

Auszug eines Schadskriptes einer befallenen WordPress-Webseite

Auszug eines Schadskriptes einer befallenen WordPress-Webseite

 Hier fällt bereits an if (!isset($eva1fYlbakBcVSir)) auf, dass sämtliche Variablen immens kryptisch sind.
-> Diese werden ggf. dynamisch generiert, damit man über Suchmaschinen wie Google und Co. nicht auf ähnliche Fälle stößt. Evtl. ist es auch nur dazu da, damit der Programmierstil den Coder nicht verrät.
Es gibt sehr viele oktal und hexadezimal kodierte Zeichen, base64_encodierte Strings, gepaart mit allerhand Berechnungen, die allesamt nur darauf abzielen, den eigentlichen Inhalt hinter dem Programm zu verbergen.

Auszug des dekodierten Schadskriptes einer befallenen WordPress-Webseite

Auszug des dekodierten Schadskriptes einer befallenen WordPress-Webseite

Was macht das Schadskript denn nun eigentlich?

Es lädt beim Aufruf einer betroffenen Webseite eine Datei von http://f528764d624db129b32c21fbca0cb8d6.com/in.php in eine String-Variable und überträgt dabei IP, Browser-Daten und den Host der Webseite. Existiert für den Browser dabei ein Exploid, wird er dargestellt und das System des Webseiten-Besuchers damit kompromittiert.

Screenshot: Inhaberdaten der Domain bei Whois.com

Screenshot: Inhaberdaten der Domain bei Whois.com

Um die Webseite wieder in Gang zu setzen, wurde daraufhin empfohlen [Auszug]:

  1. Alle unnötigen und nicht verwendeten Themes/Plugins zu deinstallieren, um weniger Angriffsflächen zu bieten
  2. Sämtliche befallenen Dateien zu identifizieren (z.B. an Hand des Änderungsdatums und/oder über eine Textsuche über alle Dateien hinweg) und zu ersetzen
  3. Alle Plugins und Themes sowie WordPress selbst zu aktualisieren
  4. Alle Passwörter neu zu setzen (FTP, MySQL, E-Mail, Homepage-Provider)
  5. (Ggf.) die CHMOD aller Dateien/Verzeichnisse zu kontrollieren

Wer sind die Verantwortlichen dafür?

Die InhaberInnen-Daten der Domain, wo die Anfragen hingehen, sind erwartungsgemäß anonymisiert. Die Startseite von http://f528764d624db129b32c21fbca0cb8d6.com zeigt lediglich einen iFrame von AWStats. Die InhaberInnen von AWStats haben wahrscheinlich überhaupt nichts mit der Sache zu tun und sind eher selbst Opfer dieser Aktion.

Screenshot von view-source:http://f528764d624db129b32c21fbca0cb8d6.com/

Screenshot von view-source:http://f528764d624db129b32c21fbca0cb8d6.com/

Hinterlasse eine Antwort


Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

css.php