15 Kommentare zu “PepsiXX Hack”

1. Uwe (Internetagentur Berlin)
   12:18 am 11.Juni 2009

   Danke für den Hinweis. Könnte mit einer Sicherheitslücke im Adobe Reader auf Windowssystemen zu tun haben. Etwa so: Infiziertes PDF aus dem Web geöffnet -> Javascript ausgeführt -> Trojaner nachgeladen. Der Trojaner schnappt sich FTP Accounts aus FF, Filezilla und anderen Clients und hat freien Zugriff auf die Indexdateien Deiner Webaccounts.

   Quelle: http://modxcms.com/forums/index.php/topic,36412.0.html

   Abhilfe: Javascript im Adobe Reader deaktivieren, Reader updaten, Malwarescan durchführen

   Hoffe, es hilft.

   Gruß Uwe
   der an einem Mac sitzt

2. Sergej Müller
   13:37 am 11.Juni 2009

   Wurde auch das Theme infiziert? War auch die Index auf der Root-Ebene des Blogs betroffen?

3. Bastian
   15:06 am 11.Juni 2009

   ja ausnahmslos alle index.php Dateien (nicht nur vom Blog sondern auch von diversen Nebenscripten) waren betroffen. Unter anderem auch die index.php im amin-Ordner und auch alle Verzeichnisse der Subdomains.

4. Sergej Müller
   15:07 am 11.Juni 2009

   Also auch im Theme? Hast du so eine Index aus dem Theme-Verzeichnis?

5. Bastian
   15:49 am 11.Juni 2009

   ja auch die index.php im theme verzeichnis war betroffen. An letzter Stelle war das oben genannte iFrame eingefügt. EInfach mit <> und Tag vorstellen …

6. Sergej Müller
   15:51 am 11.Juni 2009

   Ok, dann kann ich ja mein AntiVirus für WordPress um diesen Teil anpassen, damit die anderen Blogger bei Injizierung gewarnt werden.

7. Stefan Wienströer
   17:31 am 11.Juni 2009

   Was ein Glück, dass ich eigentlich nie PDFs aus dem Netz lade, denn wofür braucht man die dort überhaupt, wenn es doch HTML-Seiten gibt.

8. Sergej Müller
   17:51 am 11.Juni 2009

   Stefan, das war doch nur eine Vermutung, wie Dateien infiziert seien könnten. Es gibt zig Möglichkeiten, von den wir wissen, dass sie existieren. Und mindestens doppelt so viele, die unerkannt genutzt werden, um den Code einzuschleusen.

9. Bastian
   17:58 am 11.Juni 2009

   Pdf als Infizierungsgrund kann ich mittlerweile ausschließen. Zum eine habe ich in der letzten Zeit keine pdfs direkt aus dem Internet geladen, darüber hinaus lief bis eben auf alle in Frage kommenden Rechnern ein Virenscan und eine Rootkit Suche. Ohne Ergebnis. Es scheint also eher eine Schwachstelle im Server oder in der Software gewesen zu sein, aktuell habe ich die Javascript_Systeme wie jQuery oder Thickbox im Verdacht.

10. Sergej Müller
    18:04 am 11.Juni 2009

    Ich beschäftige mich ja in letzter Zeit sehr intensiv damit, um mein AntiVirus-Plugin zu erweitern. Es ist schon Hammer-viele Blogs aus dem deutschsprachigen Raum, die betroffen sind. In den meisten Fällen ist es als Aussenseiter schwer rauszufinden, wie die Gefahr tatsächlich eingepflanzt wurde. Deswegen bin ich immer danke für das Feedback und durchforste das Netz nach Opfern mit der Hoffnung, Informationen zu gewinnen und diese im Plugin implementieren.

    So als Fazit kann ich sagen (muss jetzt deinen Fall nicht betreffen): Die meisten Blogger haben einfach viel zu schwache Passwörter gewählt, so dass die Bots durch Ausprobieren schnell drin waren.

    Achso, noch eine Frage meinerseits: Welche WordPress-Version hattest du?

11. Bastian
    18:22 am 11.Juni 2009

    Es lief die 2.7.1

    Das FTP Passwort habe ich gleich mal als erster geändert, die aktuelle Version davon dürfte recht sicher sein. Sollte es daran gelegen haben wäre ich beruhigt – würde ja im Endeffekt heißen, dass es nicht direkt über den Server kam und ein neues starkes PW ist schnell gesetzt

12. Diablo
    1:55 am 15.Juni 2009

    Bisher hatte ich (Gott sei dank) noch keinen Ärger damit. Gibt es schon neue Infos, worüber die Infektion gekommen ist?

13. franz wurstsemmel
    21:41 am 17.Juni 2009

    leider bin auch ich ein betroffener dieser angriffe. sämtliche index.html dateien von meinen diversen seiten waren betroffen.
    gemein daran ist, dass ein überschreiben mit einer originaldatei nicht viel hilft.
    in kurzer zeit ist die <iframe …. – zeile wieder drin.
    mich würde natürlich interessieren, wie sowas passiert, da ich mir derzeit keinen reim drauf machen kann. es kann doch nicht sein, dass soooooviele ftp-accounts gehackt wurden, oder???

    ich wäre dankbar über zuschriften zum thema.

    vorerst habe ich mir wie folgt geholfen:
    änderung der im iframe-tag angegeben url auf ein auf meiner seite liegendes bild und änderung von hidden auf visible. so sehe ich sofort beim aufruf der seite, ob sie geändert wurde.
    scheint zu nützen. ich vermute mal, dass irgendwie abgefragt wird, ob die seite einen iframe-tag beinhaltet und wenn einer gefunden wird, wird die seite in ruhe gelassen *blauäugig meine meinung*

    aber vielleicht stimmts auch so – nur das einfache hat bestand -

    auf alle fälle – bitte um mitteilung wenns was neues gibt
    haut die hacker

14. Bastian
    22:33 am 17.Juni 2009

    der Virus scheint sich alle im FTP Programm hinterlegten Verbindungen zu schnappen. Diese werden dann von einem externen Programm genutzt um per FTP Zugriff die index Dateien zu infizieren.

    Meine Vorgehensweise:

    - Systemrestore deaktivieren
    - neuste Version von Kaspersky auf den Rechner ziehen
    - System säubern

    Avira hat den Virus nicht finden können

15. Sergej Müller
    20:15 am 18.Juni 2009

    Nun hab ich mein AntiVirus-Plugin auch um die Möglichkeit erweitert, nach versteckten iFrames in den Templates zu suchen und dies entsprechend visuell und via E-Mail zu melden. Mehr zum Update auf Version 0.3 unter http://playground.ebiene.de/1577/antivirus-wordpress-plugin/#comment-3296

    Danke für deine Erfahrungswerte. Wollen wir hoffen, dass die Lösung für viele Blogger eine Abhilfe schafft.