Mrz 14 2013

WalliBlog under HackAttack – Quellcode – Teil 3

Teil 1 Beginn/Bemerken des Angriffs

Teil 2 allgemeinen Beschreibung der Folgen

Teil 3 technische Dokumentation/Quellcode

 


Quellcode

mit EtherPad zum gemeinsamen sezieren.

Der Blog des WalliNet, also der WalliBlog, wird auf Grund gemachter Erfahrungen unter anderem durch  SiteLock überwacht, und wird neben dem gerade gesetzten Link auf jeder Seite (zur Zeit linke Spalte unterer Block) angezeigt. Der hier dokumentierte Schadcode darf sich daher nicht auf dieser Seite befinden, ohne dass es zu einer entsprechenden Warnung kommen würde. Schon im Teil 2 waren Veränderung des dokumentierten Source notwendig. Die Dateien liegen bei Dropbox zum Download, Betrachtung, Bewerten und sehr gerne zum Kommentieren in leicht veränderter Form und können nicht ausgeführt werden.

Parallel zu diesem „Outing“ möchte ich nicht noch in dem Siegel den Hinweis auf Schadcode haben. Würde dann wohl falsch zu verstehen sein.

htaccess

Die .htaccess  gehörte wie jede(!) PHP-Datei im gesamten Dateibaum zu den veränderten Files. Es wurden Veränderungen eingebaut, die vermutlich zukünftige Zugriffe erleichtern sollten.

PHP-Dateien

Sämtliche PHP-Datei im gesamten Dateibaum wurden verändert bzw. im Dateikopf erweitert. Die Ergänzung erfolgte ohne Umbruch nach 12 Tabulatoren. Auf diesem Weg wird die Änderung bei grober Draufsicht nicht bemerkt, da eventuell der Source außerhalb des Anzeigefensters abgebildet wird. Jeder Aufruf einer Seite des WalliNet, jede sonstige Aktion in diesen Bereich führte so auch zur Ausführung der Zusatzzeile.

Was dort neben Cookie-Schreiben passiert, mag gern analysiert werden. Welche Funktion hat der Server http://turnitupnow.net? Ich bin neugierig, ob hier Bemerkungen erfolgen und man daraus lernen kann.

PHP-Datei mit base64-Code

Ich gehe davon aus, das ein wesentlicher Teil des Angriffs bzw. die Schadwirkung durch Versendung von Spam über die Spezialdateien w[0-9]{17}.php erfolgte. Von dieser Art waren mehrere mit der genannten Dateinotation im System „verteilt“. Die Lesbarkeit ist durch base64 natürlich gesenkt.

Nachwirkung

Bis heute erfolgen – wie bereits im Teil 2 belegt  – direkte Aufrufe von längst gelöschten Seiten. Also nach fast eineinhalb Jahren.

Hier ein Aufruf aus San Francisco:

2013-03-07, 3:59 PM 66.249.76.228 /blog/2011/05/der-glaube-kann-satze-verbergen/

Diese direkten Aufrufe erfolgen aus aller Welt. Das deutsche Hagen, das amerikanische San Francisco, das russische Sevastopol oder auch japanische Städte sind immer wieder dabei. Ich denke hier versuchen Bots, die Infizierung neu auszulösen.

öffentlicher Schadensource im Zugriff

Die Art der Veröffentlichung des Schadenscode kann mE nicht für weitere Schäden genutzt werden. Vielmehr könnte durch die Dokumentation dazu beigetragen werden, Störungen und die Abwehr ernst zunehmen. Hier nochmal die Anlistung der Belege bei Dropbox.

  • .htaccess
  • PHP-Datei
  • Spezialdateien w[0-9]{17}.php

 


EtherPad

Dieselbe Quellcodefiles bei TitanPad zum gemeinsamen sezieren und kommentieren:



Teil 1
 Beginn/Bemerken des Angriffs

Teil 2 allgemeinen Beschreibung der Folgen

Teil 3 technische Dokumentation/Quellcode

Permanentlink zu diesem Beitrag: https://www.wallinet.de/blog/2013/03/walliblog-under-hackattack-quellcode-teil-3/

2 Pings

  1. […] Wal­li­Blog under Hack­At­tack – Quell­code – Teil 3 […]

  2. […] EtherPad zum gemeinsamen […]

Schreibe einen Kommentar

Your email address will not be published.

Social Widgets powered by AB-WebLog.com.