Scam im Kunden-Webspace – und Gegenmaßnahmen

Die neueste Masche in der Internet-Kriminalität ist, schadhaften Programmcode mehrfach zu verschlüsseln und ständig die Programme so zu verändern oder zu verschieben, so daß Schadsoftware möglichst lange nicht erkannt wird und eine Rückverfolgung möglichst mit dem Nervenzusammenbruch eines Admins endet!

Scam um Login-Daten von I-Land ein zu fischen

Auf einem Kunden-Webspace wurde eine Scam-Seite installiert, die Zugangsdaten von Kunden einer anderen Firma gephist und an den Phisher jeweils gleich per Mail weiter geleitet hat!

Phishing ist extrem gefährlich und was man dagegen tun kann…

Wie gefährlich dieser Scam ist, ist vielen Kunden überhaupt nicht klar:

Viele meinen, daß ein Phishing von Kreditkarten-Daten gefährlicher ist, als das Phishing von Mail-Zugangsdaten – weit gefehlt! Der Schaden eines Mail-Zugangsdaten-Phishings ist wahrscheinlich ebenso gefährlich, wie dieses Beispiel zeigt.

Mögliche Folgen: Kontenabräumung, Kreditaufnahmen, Identitätsdiebstahl:

Wer Zugang zu Ihren User -und Passwörtern von Ihren Mail-Konten erhält, hat die Möglichkeit, innerhalb kürzester Zeit (wenige Minuten), ALLE Mails elektronisch auszulesen und erst einmal zu speichern. Das diese Mails alle kopiert worden sind, können Sie anschließend in der Regel überhaupt nicht nachvollziehen.

Es ist ein Irrglaube, zu denken: „Ja was stört mich daß? Ich habe ja eh nichts zu verbergen!“

Oft befinden sich in den Mails von Kunden, Anmelde- und Zugangsbestätigungen mit User- und Passwörtern-Zugangsdaten für andere Systeme (auch wenn nur Facebook oder Google+, aber auch Zugangsdaten zu Webspaces, Servern, Banken etc.) – Selbst wenn nicht das Password drin steht, kann der „Phischer“ ja nun sich das Passwort von dem anderen System abfordern – Er nutzt einfach die Funktion:  „Passwort verloren“ und an Ihr Mail-Account wird eine Mail gesendet, mit dem neuen Passwort, was natürlich der Phisher sofort abruft, speichert und dann löscht er die Mail und löscht auch diese aus dem Papierkorb – Sie merken gar nichts!

Bevor Sie es als, „reingefallener Kunde“ bemerken, hat sich der „Phisher“ bereits viele weitere Zugangsmöglichkeiten zu anderen Systemen geöffnet!

Phishing über Webseiten von anderen:

Am 22.09.12, Samstag Abend, ca. 20:30 Uhr, wo der Service bei vielen Internet-Service-Providern normal nicht erreichbar ist, haben wir von I-Land (ebenfalls einem Internet-Service-Provider) eine Mail erhalten, die uns auf die Phishing-Seite, (eine Seite, über die man Daten abfischen will), (siehe obiges Bild), aufmerksam gemacht hat. Wir haben unverzüglich die Seite kontrolliert, den Code begutachtet und bereits um 20:45 Uhr den Webspace des Kunden temporär und komplett gesperrt! Ferner haben wir unseren Kunden über die Sperrung und den Grund dafür, informiert!

Die Analyse nach einem Einbruch auf einen Server oder Webspace:

Danach haben 2 Mitarbeiter von 1awww.com in diversen Log-Files gesucht, um dahinter zu kommen, wie dieser schadhafte Code überhaupt in den Kunden-Webspace gelangt ist In diesem Fall, ist der Code ganz offensichtlich über FTP eingespielt worden, (also anders als sonst üblich, nicht durch die Hintertür). Für einen richtigen Beweis, konnten wir dann durch eine andere Datei mit gleichem Muster, die zu einem bestimmten Zeitpunkt am gleichen Morgen via FTP eingespielt wurde, die Erkenntnis erzielen, wie diese Verschleierung von statten geht!

Intruding über welche Wege – keine üblichen Wege – oft nicht nachvollziehbar:

So, und nun kommen wir zur Vorgehensweise der Intruder/Einbrecher, die echt perfide, aber auch schon in der Vergangenheit gut ausgeklügelt vorgingen:

Oft nutzen solche Einbrecher „Hintertürchen“ von schlecht abgesicherten Programmen und nutzen die Fehler z.B. von Joomla oder deren Erweiterungen,
Wordpress und so weiter! So werden Dateien über „Upload-Funktionen“ oft als Bilder oder auch nur Texte eingespielt, enthalten aber PHP-Code (teilweise auch verschlüsselt) und auf dem „Trickie-Weg“, weil dies die schlecht programmierten Programme teilweise zulassen,  in PHP-Programm eumbenannt. Wenn die Datei-Endung erst mal als ausführbares PHP-Programm geändert wurde, kann das Schadprogramm durch Aufruf von Außen über den Internetxplorer, aktiv werden. Dabei werden dem Schadprogramm sogar noch, wie im normalen Leben auch bei üblichen Webseiten, Parameter mit übergeben. Die Seiten enthalten teilweise aber auch Eingabefelder, so daß die Parameter als POST – Übersendung erfolgt, denn diese werden in den Apache – Logs ja nicht protokolliert!

Natürlich befanden sich in den Log-Files keine üblichen Informationen, was schon längere Zeit immer mehr Administratoren und Server-Betreiber, um den Verstand bringt!

Auch die herkömmliche Intruder-Detection-Systeme und Viren-Scanner wurden oft auf´s Glatteis geführt und die Schäden werden von Tag zu Tag immer größer!

Neue Masche der Intruder, eine kaskadierende Verschlüsselung mit gleichzeitiger Veränderung von Dateien auf PHP-Basis!

Die Programme enthalten z.B. folgenden PHP-Code:

eval ( gzinflate ( base_64decode

Dieser Programmcode ist mehrfach verschlüsselt! Aufgrund dieser Tatsache versagen viele Virenscanner und auch Intruder-Detection-Systeme! Wird das PHP-Programm aufgerufen, dauert es mehrere Sekunden, bis es kaskadierend entschlüsselt wurde und dann ausgeführt wird. Ein Virenscanner, der das Programm untersuchen soll, muß auch erst einmal den Code komplett kaskadierend entschlüsseln, bevor er erkennen kann, daß es sich um ein Schadprogramm handelt. Dabei werden natürlich massig Resourcen verbraucht!

Manuelle Entschlüsselung möglich:

Da es sich ja um PHP-Code handelt, haben wir als PHP-Programmierer natürlich die Möglichkeit den Code so umzubauen, daß wir sehen, was in diesem steckt?! Klar:

Wir brauchen also das Script nur, daß mit eval beginnt und eigentlich über eval ausgeführt werden sollte, in ein echo umwandeln. Wir entfernen die Klammer hinter dem eval und nehmen auch am Ende der Endloszeile das ) einfach weg und lassen das Script laufen – dies dauert verhältnismäßig lange, nämlich etliche Sekunden, anstatt wie gewohnt von anderen PHP-Scripten nur Millisekunden und erhalten auf dem Bildschirm nur Hieroglyphen! Ok, also steigen hier schon mal ein paar Admins aus, nämlich kurz vor dem Nervenzusammenbruch, wie kann daß sein! Also müssen wir doch die Ausgabe so umwandeln, daß wir das in eine Datei umleiten. Richtiger und logischer Weg! Aus script.php wird script1.php und daraus dann script2.php usw. Der Anfang beginnt immer mit eval …. und dann kommt der verschlüsselte Code – In unserem Fall, haben wir nach der 10. Verschlüsselung aufgehört – und ein Script gesucht, daß den Code komplett auspackt.

Die Lösung, ein Script, daß wirklich den Code über alle Ebenen (kaskadierend) entschlüsselt:

Wir haben ein PHP-Script gefunden, daß den Code entschlüsselt – es funktioniert prima, wenn man genau die Anleitung durchgeht! Wenn man dann das Entschlüsselungs-Script ausführt, kommt man schnell zur Erkenntnis, daß die verschlüsselten Dateien das Programm „C99madShell“ oder deren Abwandlungen enthalten! Hier das Decodier-Script Sie sollten dennoch weiter verfolgen:

Enorme Schäden werden verursacht durch Scam, wie ist der Ablauf?

In der Regel werden von anderen gehackten Webspaces oder Server Mails versendet, die die Empfänger weiß machen oder versuchen weiß zu machen, daß nur durch das Anklicken eines Links und der Angabe von bestimmten Daten, wie z.B. Kreditkarten-Nummer oder bei Mail-Zugangsdaten-Phishing eben die Angaben von User und Password zwingend nötig sind, um den Weiterbetrieb des Dienstes zu gewährleisten. Werden die Daten dann in die Maske der verlinkten Phishing-Seite eingegeben, werden diese direkt über ein Auswertscript an den Phischer via Mail zu gesendet! Also es vergeht noch nicht einmal eine Minute, nachdem der Betrogene seine Userdaten eingegeben hat, daß dieser der Phischer als Mail erhalten hat und dieser wird auch in der Regel sofort tätig, um mit den gephishten Daten sein Schindluder zu treiben!

Wer  es merkt, daß er auf diese Betrugs-Masche hereingefallen ist, muß sofort handeln:

a) Erst mal das Passwort von dem erphishten Mail-Account ändern!
b) überlegen, ob in irgendeiner Mail Kreditkarten – Nummern vorhanden waren und ggf. Kreditkarte sofort sperren lassen
c) Alle Mails untersuchen, die Zugangsdaten enthalten wie User und Passwörter und die Passwörter in ALLEN Systemen sofort ändern
d) sofort Strafanzeige stellen und von der Polizei weiter beraten lassen
e) überlegen, was in den Mails noch wichtiges enthalten ist, was gefährlich werden könnte!

Was macht nun hier c99MadShell oder deren kommende Nachfolger?

Es handelt sich hierbei um ein Script, daß Befehle entsprechend einem Script entgegen nehmen kann und Dateisystem-Zugriffe, aber auch MySQL-Befehle durchführen kann, die allerdings noch nicht in den Log-Files protokolliert werden!
So kann bei Einsatz des Scripts Datei-Umbenennungen und Verschiebungen etc. durchgeführt werden, wobei dabei gleichzeitig Spuren beseitigt werden.

Warum konnte überhaupt jemand via FTP Schadprogramme installieren?

Wir erfuhren zwischenzeitlich vom Kunden, daß sein Computer vor ein bis zwei Monaten von einem Trojaner befallen war und er diesen deshalb erst mal außer Betrieb genommen hat. Somit ist wohl via Trojaner die Mail mit den Zugangsdaten, die er vor ca. 2 Jahren von uns erhalten hat, in falsche Hände, insbesondere an die Person oder die Personen gelangt, die dann die Zugangsdaten mißbraucht haben!

Der Kunde hatte angeblich auch auf anderen Systemen Passwörter geändert, aber nicht daran gedacht, auch das Passwort für den Webspace zu ändern!

Daraus ergeben sich natürlich ganz andere Fragen, wer nämlich dann haftet?
Lesen Sie in wenigen Tagen dazu mehr in unserem Blog!

Geeignete Gegenmaßnahmen wurden von unserer Seite sofort eingesetzt:

Auf den Servern von 1awww.com wurden am Wochenende 2 weitere Scripte installiert, die solche Angriffe aufdecken sollen. Ferner werden deutliche Kunden-Warnungen bekannt gemacht werden, da wir nämlich immer wieder feststellen, daß Kunden aus Bequemlichkeitsgründen noch nicht mal Ihre Inital-Kennwörter ändern und Sicherheitsabfragen nicht definieren!

ACHTUNG: Wer ebenfalls als Webmaster von Scripts und Lösungen zu Preventivmaßnahmen profitieren will, sollte sich als Follower für den blog unbedingt eintragen!

Ein Gedanke zu „Scam im Kunden-Webspace – und Gegenmaßnahmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.