Die Tage habe ich mir wieder mal die Logs meines Webservers genauer angesehen und folgende Einträge mal genauer angesehen um zu sehen, was manche Besucher auf der Seite so treiben:
index.php?page=http://www.xxxxxxxx.com/path/to/file.txt
Was ist da eigentlich los? Und was macht die komische URL? Und warum im Minutentakt? Ich beginne einmal mit der einfacheren Sache und versuche die Datei herunterzuladen, welche hier in der URL angepriesen wird. (obrige URL ist aus Sicherheitsgründen unkenntlich gemacht)
Die Datei wandert gemächlich auf meinen Rechner, wo sie schon von einem Editor erwartet wird. Ein PHP Script tut sich auf und mir wird klar, was sich da tun sollte.
Jemand hoffte, dass meine Seitenweiterleitungen einfache Includes sind, am Besten nach folgendem Schema:
<?php include( $_GET['page'] ); ?>
… und dass der Server remote includes zulässt. Kurz den Kopf darüber geschüttelt, dass man sowas macht, wende ich mich dem Script selbst zu um es in aller Ruhe zu betrachten.
Was sich mir da offenbart spottet jeder Beschreibung. Ein riesiges Script, welches komische, eingebettete Sequenzen enthielt. Da ich PHP verstehe, fiel es mir nicht schwer, diese komischen Blöcke zu verfolgen und festzustellen, dass es sich um blanke Base64 Codierung handelt, um den dahinterliegenden Code leichter zu transportieren und sogar teilweise zu komprimieren bzw verschleiern. Ich kopiere mir die entsprechenden Teile in Textfiles.
cat text1.txt | base64 -d
Sesam öffne dich – und schon liegen mir die entsprechenden Teile in lesbarer Form vor und das Mittagessen in meinem Magen beginnt sich zu melden, während sich die Nackenhaare sträuben. Was sich in so manchem Segment versteckt hat ist ein alter bekannter Iframe zur Verseuchung von Websiten nebst diversen anderen Hilfsmittel und viralem Code und einer Art Socket-Verbindung, welche ich eigentlich schon kenne: Eine IRC Verbindung in das russische DAL.Net um den Rechner wieder zu finden, inklusive Channel und zugehörigem Passwort.
Nach einem kleinen Exkurs ins IRC dekodierte ich noch die restlichen Fragmente und fand diverse Exploits um dem Host zu schaden bzw Root-Rechte zu erlangen. Im Grunde genommen, bis auf die eingebetteten Exploits ziemlich alter Käse. Auf das hin, brauche ich aber erst mal ’nen Kaffee…
numerodix says:
That’s an interesting one. The invocation method seems quite optimistic though.
Stargazer says:
Indeed an interesting sample, although I don’t see anything ’new‘ in it.
Another analysis turned out to be unneeded as it’s just old stuff being recycled