Goneo gehackt und zum Spammen benutzt

Der Webmaster von FrArwie.de hat mich vor kurzem darauf aufmerksam gemacht, dass seine Seite von einem Skript „benutzt“ wurde, dessen Muster er auf einer meinen Domains wiederfand. Die Mail von ihm las sich auf den ersten Blick zwar auch wie Spam, allerdings musste ich nach dem Einloggen per FTP schnell feststellen, dass er recht hatte und vermutlich nicht selbst der Spammer war (was ich tatsächlich kurz dachte…). Sorry für diesen Verdacht und vielen Dank an FrArwie.de!

Am 31.01.2010 wurden auf meinem Webspace bei Goneo folgende Ordner und Dateien angelegt:

/hzwdcs/nrcw.php
/xbtnks/rzmc.php
/ctkxnj/zyna.php

Betroffen war mein Goneo-Account, obwohl ein Fehlverhalten von mir ausgeschlossen scheint, da ich mich seit vielen Monaten nicht mehr per FTP angemeldet hatte und auch nur Umleitungen hinter den Domains liegen (zudem nutze ich kein Windows-System mehr, was für die Trojaner, Spambots und Virengeschichten ja noch mal anfälliger wäre). Nach dem Hinweis von FrArwie meldete ich das Problem Goneo, von denen leider keine Antwort erfolgte. Dummerweise habe ich die Dateien in einem Panikanfall gelöscht und kann nicht genau sagen, was sie gemacht haben… ich bin mir, nachdem der Suchbegriff „langauer.de“ nun über 10.000 Googletreffer bringt, aber mehr als sicher, dass damit gespammt wurde.

Blöd, dass ich erst am 07.02. die Mail bekam und die Dateien löschen konnte (soll kein Vorwurf an den Melder sein!) – so hatte der Bot über eine Woche Zeit, fleissig Kommentare und Trackbacks abzusetzen… Nicht auszudenken, wenn ich gar nicht gewarnt worden wäre.

Eine Auswertung der access_log Zeit folgendes Muster:

/ctkxnj/zyna.php?bqwn=webkinz+login+is+blank/index.php
/ctkxnj/zyna.php?bqwn=blank+recording+tapes
/ctkxnj/zyna.php?bqwn=printable+blank+book+cover
/ctkxnj/zyna.php?bqwn=u+s+blank+citation
/ctkxnj/zyna.php?bqwn=blank+weekly+menu+sheets
/ctkxnj/zyna.php?bqwn=free+blank+promissary+note

Wie gesagt, gibt es im Moment keine Info von Goneo (an mich), wobei es mehrere Betroffene gibt. In der verlinkten Seite, Proteste.de, steht allerdings drin, dass Goneo hier mittlerweile geantwortet hat:

[…] wir haben im Zuge der Sicherheit die Einstellung „register_globals“ deaktiviert. Damit war es möglich eine Variable mit Inhalten zu füllen (wie z.B. q=free+printable+maths+tests) und diese an ein PHP Script zu übergeben, sodass beliebig Schadcode übergeben werden konnte, um weitere Aktionen auszuführen […]

Seit dem Löschen der Dateien ist Ruhe – wir hoffen mal, dass es dabei bleibt – danke noch mal an den aufmerksamen Webseitenbetreiber, der sich hier ziemlich Mühe macht, Betroffene zu finden.

Passende Artikel

Das könnte Dich auch interessieren...

7 Antworten

  1. Uwe sagt:

    Hallo,

    ich bin seit Tagen am verzweifeln weil ich Probleme mit meinen Installationen bei Goneo habe. Ich finde aber den Fehler nicht.
    Jetzt bin ich über deinen Blogbeitrag gestolpert und hoffe du kannst mir einen Tipp geben, was ich machen kann, weil ich vermute, dass es doch was mit Goneo zu tun hat.
    Folgendes hat sich zugetragen.
    Im Laufe des 13.02. hat Google in den Webmaster-Tools die Sitmaps meiner WP-Installationen nicht mehr gefunden. Das zog sich durch alle Blogs, die ich auf Goneo installiert habe (Homepage Easy Paket)
    Zuerst dachte ich an einen Fehler bei Google und habe alle Sitemaps neu eingereicht. Ohne Erfolg, es wurde von Google immer wieder zurück gegeben, dass die Sitemaps schadhaft wären.
    Heute morgen dann stellte ich fest, dass bei einem meiner Blogs ich nicht mehr auf die einzelnen .php-Dateien zugreifen kann (über Design->Editor).
    Seit dem mehrt sich das Chaos und seit ich diesen Post von dir gelesen habe, vermute ich, dass das Problem eben an Goneo liegt.
    Hast du eine Idee, wie ich das lokalisieren kann bzw. weiter eingrenzen kann und evtl. auch beheben kann?

  2. Simon sagt:

    Hallo Uwe,

    spontan kann ich dir nicht helfen – ich würde aber empfehlen, dass du dir mal per ftp anschaust, wie es auf deinem Webspace aussieht. Bei mir waren die Skripte recht einfach zu erkennen, da zu jeder Domain, die bei Goneo liegt, ein krytischer Unterordner angelegt wurde, in der die o.g. PHP-Dateien drin lagen. Zu dem Google-Problem: Vielleicht hat jetzt Google gemerkt, dass von den Goneo-IPs aus gespammt wurde und crawlt hier im Moment nicht? Ich will’s nicht hoffen, aber möglich wär’s… Per ftp solltest du auch die PHP-Dateien sehen, auf die du jetzt nicht zugreifen kannst – wenn du sie hier auch nicht siehst, würde ich Goneo kontaktieren, evtl. haben die jetzt mit einer Bereinigungsaktion begonnen und die etwas zu genau genommen..? Siehst du sie denn gar nicht oder fehlen dir nur die Rechte, sie zu editieren?

    Gruß Simon

  3. Bernd sagt:

    Bei mir sind auch 2 Pakete gehackt worden.
    Nach dem Ändern des FTP-Passwortes und entfernen
    der eingeschleußten Files war dann Ruhe.
    Ich vermisse eine Meldung und Warnung in den einschlägigen Medien, wie heise.de …
    Mit Sicherheit sind sehr viele Pakete betroffen.
    Vielleicht hat Goneo im Zuge seiner „Sicherheitsoffensive“ auch die Files automatisch entfernt.
    Eine Entschuldigung seitens Goneo wird es wohl nicht geben.

  4. Simon sagt:

    Ja richtig, „Sicherheitsoffensive 2010“ ist das Stichwort, das ich oben vergessen hab, zu erwähnen. Da vermutet man ja fast, dass es vor dem Start dieser Offensive diverse Vorfälle in der Richtung gab… Aber wenn dem so wäre, müsste es für einen Provider doch ein leichtes sein, nach den Strukturen zu scannen und die Kunden im Verdachtsfall zumindest darauf hinzuweisen…

  5. Klaus sagt:

    Auch ich habe in einem Paket Dateien nach diesem Muster gefunden (bei mir z.B. 1996/61.php?q=free+printable+ticket+page).

    Ich habe dann lange in den Logs gewühlt und den ersten Zugriff schon am 23.12.2009 in den Logs gefunden. Eine Suche im Web und Nachfragen bei goneo liefen ins Leere. Die Aktion mit der Zwangsänderung der ftp-Zugangsdaten lässt mich vermuten, dass goneo selbst wohl ein Sicherheitsproblem hat(te).

    Noch heute findet eine google-Suche mit obigen Begriff einige Webseiten – alle gehostet bei goneo !

    Grüße, Klaus

    • Arwed sagt:

      hallo klaus,

      ich bin der webmaster von proteste.de und frarwie.de.
      mir ist das ganze aufgefallen. ich habe an ca 80 seitenbetreiber geschrieben, von denen mir auch einige geantwortet haben.
      einer schrieb mir, dass er auch so um den 20.12. die dateien bemerkte. aber nicht an eine manipulation glaubte, sondern an eine fehlübertragung und hat ein backup der seite eingespielt.

      leider musste ich bei meiner suche auch feststellen, dass einige seiten nicht mal inhalt hatten. aber nicht nur goneo sondern auch ein niederländischer hoster und ein britischer sind/waren davon betroffen.

      leider wurden fragen wie bei dir mit standart emails abgeblockt und der schwarze peter auf den „user“ geschoben. da aber sehr viele webmaster die ich kenne ihre datensicherheit sehr ernst nehmen(ich benutze zur übertragung eine vm die nur port 21 freigegeben hat und änderungen im system bei neustart verwirft)kann ich mit fug und recht behaupten, dass „wir“ definitiv NICHT der „fehler“ waren/sind.

      grüße ARWED

  1. 18. Februar 2010

    […] Trackbacks auf meiner Hauptseite funktionieren leider nicht mehr… deshalb dieser Test! Und […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*