Der Webmaster von FrArwie.de hat mich vor kurzem darauf aufmerksam gemacht, dass seine Seite von einem Skript „benutzt“ wurde, dessen Muster er auf einer meinen Domains wiederfand. Die Mail von ihm las sich auf den ersten Blick zwar auch wie Spam, allerdings musste ich nach dem Einloggen per FTP schnell feststellen, dass er recht hatte und vermutlich nicht selbst der Spammer war (was ich tatsächlich kurz dachte…). Sorry für diesen Verdacht und vielen Dank an FrArwie.de!
Am 31.01.2010 wurden auf meinem Webspace bei Goneo folgende Ordner und Dateien angelegt:
/hzwdcs/nrcw.php /xbtnks/rzmc.php /ctkxnj/zyna.php
Betroffen war mein Goneo-Account, obwohl ein Fehlverhalten von mir ausgeschlossen scheint, da ich mich seit vielen Monaten nicht mehr per FTP angemeldet hatte und auch nur Umleitungen hinter den Domains liegen (zudem nutze ich kein Windows-System mehr, was für die Trojaner, Spambots und Virengeschichten ja noch mal anfälliger wäre). Nach dem Hinweis von FrArwie meldete ich das Problem Goneo, von denen leider keine Antwort erfolgte. Dummerweise habe ich die Dateien in einem Panikanfall gelöscht und kann nicht genau sagen, was sie gemacht haben… ich bin mir, nachdem der Suchbegriff „langauer.de“ nun über 10.000 Googletreffer bringt, aber mehr als sicher, dass damit gespammt wurde.
Blöd, dass ich erst am 07.02. die Mail bekam und die Dateien löschen konnte (soll kein Vorwurf an den Melder sein!) – so hatte der Bot über eine Woche Zeit, fleissig Kommentare und Trackbacks abzusetzen… Nicht auszudenken, wenn ich gar nicht gewarnt worden wäre.
Eine Auswertung der access_log Zeit folgendes Muster:
/ctkxnj/zyna.php?bqwn=webkinz+login+is+blank/index.php /ctkxnj/zyna.php?bqwn=blank+recording+tapes /ctkxnj/zyna.php?bqwn=printable+blank+book+cover /ctkxnj/zyna.php?bqwn=u+s+blank+citation /ctkxnj/zyna.php?bqwn=blank+weekly+menu+sheets /ctkxnj/zyna.php?bqwn=free+blank+promissary+note
Wie gesagt, gibt es im Moment keine Info von Goneo (an mich), wobei es mehrere Betroffene gibt. In der verlinkten Seite, Proteste.de, steht allerdings drin, dass Goneo hier mittlerweile geantwortet hat:
[…] wir haben im Zuge der Sicherheit die Einstellung „register_globals“ deaktiviert. Damit war es möglich eine Variable mit Inhalten zu füllen (wie z.B. q=free+printable+maths+tests) und diese an ein PHP Script zu übergeben, sodass beliebig Schadcode übergeben werden konnte, um weitere Aktionen auszuführen […]
Seit dem Löschen der Dateien ist Ruhe – wir hoffen mal, dass es dabei bleibt – danke noch mal an den aufmerksamen Webseitenbetreiber, der sich hier ziemlich Mühe macht, Betroffene zu finden.
| In den Artikeln sind häufig Partnerlinks enthalten, überwiegend zu Amazon und eBay. Durch einen Klick darauf gelangt ihr zum Anbieter und wenn ihr dort etwas kauft, bekommen wir eine kleine Provision. Euch entstehen dadurch keine Nachteile, ihr helft so aber, dass die Seite weiterhin existiert und dafür danke ich euch! :) |
