Angriff auf meine Webseiten (betstarwager.cn)

Am 27.02. gegen 17:00 Uhr startete ein ziemlich heftiger Angriff auf meine Webseiten. Vermutlich wurde einer meiner Rechner trotz aktuellem Virenscanner mit Malware infiziert und so wie es aussieht, wurden FTP-Zugangsdaten zu den meisten meiner Server ausgespäht.

Kurze Zeit später waren auf fast allen meinen Servern die index.php und index.html Seiten verändert worden.
Gegen 19:15 Uhr bemerkte ich die Infektion und nahm alle Seiten sicherheitshalber vom Netz um (weiteren) Schaden zu vermeiden.

In die Index-Seiten war ein IFRAME auf den Server http://betstarwager.cn/ eingebettet worden. Die Parameter lasse ich sicherheitshalber weg.

Dieser IFRAME verzweigte dann zu folgenden Servern (bitte den Link nicht öffnen!)

http://ilahiyat-fakultesi.com

http://abfintour.ru

und

http://64.191.72.53

Es wurde dann versucht, über diese beiden URL dem Besucher einen Trojaner (einen Passwort-Stealer) unterzuschieben.

Das Wochenende habe ich damit verbracht alle infizierten Dateien zu entseuchen bzw. die Seiten durch meine Datensicherungen wieder herzustellen.

Wie es aussieht war das einzige Angriffsziel die Index-Dateien. Meine Datenbanken oder andere Dateien wurden nicht verändert bzw. ausgespäht.

Ich habe jetzt alle meine Index.php – Dateien um ein kleines Script-Snipplet ergänzt. Zunächst wird die Größe der Index.php ermittelt und mit dem gespeicherten Wert verglichen. Wird eine Veränderung festgestellt erhalte ich ein Mail und das PHP-Script terminiert. Damit wird zumindest diesem Angriff ein Riegel vorgeschoben.


6 Responses to “Angriff auf meine Webseiten (betstarwager.cn)”

  • gecko Says:

    Welcher Trojaner wird denn versucht zu installieren?
    Ist das auch der Trojaner der die Ursprungs-Passwörter gestohlen hat?

  • Claus Lampert Says:

    Der Trojaner, der über den IFRAME installiert werden sollte war der “Trojan-Downloader.JS.Agent.D” oder “Trojan-Downloader.JS.Agent.dqz”. Den Trojaner, der MEIN System angegriffen hatte konnte ich bis dato mit keinem Tool identifizieren. Der angegriffene Rechner ist natürlich offline und in Quarantäne…

  • Frank Says:

    Hatte genau das gleiche zur etwa selben Zeit. In alle INDEX-Seiten wurde das IFRAME eingetragen. Wie allerdings der PC befallen wurde ist mir noch ein Rätsel. Konnte bisher keine Auffälligkeiten an der Kiste feststellen.

  • Claus Lampert Says:

    Ich leider auch nicht! Ich versuche jetzt durch eine Art “Honey Pot” den befallenen Rechner zu identifizieren: auf jedem Rechner ist ein anderer FTP-Zugang vollständig mit Daten bestückt…

  • Patrick Says:

    Hi Claus,
    ich habe zur Zeit vermutlich exakt den gleichen Angriff bei mir. Viele FTP-Daten sind ausgespäht und Fremd-Code ist in den index-Dateien zu finden.
    Hat dein “Honey Pot” etwas gefunden?

    Sehr sonderbar das alles …

  • Claus Lampert Says:

    @Patrick: ich hatte keinen Angriff mehr. Ich habe aber auch einen PC, der sich etwas auffällig verhielt (aber laut Kaspersky sauber war) plattgemacht (inkl. MBR).
    Was ich mittlerweile auch gemacht habe: ich lasse die Größen meiner index.php mittlerweile durch Cronjobs überprüfen und gegebenenfalls per Mail Veränderungen mitteilen.

Leave a Reply