Achtung Malware - phpMyAdmin hat Sicherheitslücke, MalwareBo

Beitrag von **WebmasterAlex** » 04.08.2011, 14:31

Hallo Leute,

ich möchte euch vor einem "neuen" Malware Bot warnen.

Meine Seite wurde heute als Malware marktiert und ich habe mich sofort auf die Suche begeben. Ich habe dann schnell gefunden, dass alle "<?php" durch:

<?php eval(base64_decode("Cg.......X0="));

ersetzt wurden. Also erstmal schnell geschaut was das script macht:

Damit es nicht schnell auffliegt passiert garnichts wenn man die Seite betritt. Kommt man allerdings mit dem Refer Goolge oder Facebook oder andere Suchemaschine auf die Seite, wird man auf eine Spam Seite weitergeleitet...

Das Script hatte an die 100 PHP Dateien befallen. Nachdem die alle händisch gecleant wurden, habe ich alle Passwörter geändert aber mir gedacht, dass es daran eigentlich nicht gelegen haben kann.

Ich habe dann die Server Logdateien durchgeschaut und per Zufall wirklich was schönes gefunden. erstaunlicherweise aber schon mehrere Wochen alt:

2011-07-04 07:50:29 XXX XXX XXX GET /scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 2 1838 152 109
2011-07-04 07:50:30 XXX XXX XXX GET /admin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 158 140
2011-07-04 07:50:30 XXX XXX XXX GET /admin/pma/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 162 93
2011-07-04 07:50:30 XXX XXX XXX GET /admin/phpmyadmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 169 140
2011-07-04 07:50:31 XXX XXX XXX GET /db/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 155 171
2011-07-04 07:50:31 XXX XXX XXX GET /dbadmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 160 125
2011-07-04 07:50:31 XXX XXX XXX GET /myadmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 160 156
2011-07-04 07:50:32 XXX XXX XXX GET /mysql/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 158 156
2011-07-04 07:50:32 XXX XXX XXX GET /mysqladmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 163 109
2011-07-04 07:50:32 XXX XXX XXX GET /typo3/phpmyadmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 169 125
2011-07-04 07:50:33 XXX XXX XXX GET /phpadmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 404 0 3 1838 161 125
2011-07-04 07:50:39 XXX XXX XXX GET /phpMyAdmin/scripts/setup.php - 80 - 80.87.128.81 HTTP/1.1 - - - www.XXX.de 200 0 64 8624 163 906

Es kann sein, dass noch mehr Varianten durchprobiert werden aber bei mir existierte die Datei: /phpMyAdmin/scripts/setup.php
Scheinbar hat er erstmal ausgelesen auf welchen Seiten es wo die passende Script Datei gibt.

Vorgestern gab es dann an paar POST sendungen an die entsprechende Datei und schon was das Script in meinem System injeziert.

Betroffen ist dabei phpMyAdmin 2.11.6 und es ist nicht ausversehen eine nicht gelöschte setup Datei. Ich habe keine Ahnung warum es in dieser Version überhaupt eine Setup Datei gibt, allerdings hat sie ganz offenbar eine Sicherheitslücke.

(Ich habe übrigens einen Honeypot gebaut um zu schauen was an diese Seite per POST gesendet wird)

Also prüft mal eure Seiten und auch wenn ihr für phpMyAdmin passwörter und zugänge habt, sichert es lieber noch mit einem htaccess Schutz ab.

Weiß jemand wielang die Google prüfung dauert? Habe schon vor 5 Stunden angegeben, dass die Seite wieder Clean ist.

Viele Grüße
Alex

//EDIT

Achso und an den Webmaster von dem Forum hier. Ich habe eine Funktion programmiert die zu lange Wörter automatisch umbricht damit das ganze nicht aussieht wie hier

Kannst dich melden wenn du sie haben möchtest.

von **Anzeige von ABAKUS** »

Beitrag von **Anonymous** » 04.08.2011, 14:36

hab den schadcode mal unbrauchbar gemacht... dann barucht man auch deine FUnktion nicht...

Beitrag von **TBT** » 04.08.2011, 14:46

aus welchem Jahrhundert ist deine Installation?

die aktuelle Version vom phpMyAdmin ist bei 3.4.3.2 und nicht bei 2.11.6

Beitrag von **Synonym** » 04.08.2011, 14:58

sichert es lieber noch mit einem htaccess Schutz ab

Das macht man sowieso...

Und " phpMyAdmin (/scripts/setup.php) PHP Code Injection Exploit"
Das ist schon aus dem Jahre 2008 / 2009!

Betroffen ist dabei phpMyAdmin 2.11.6

Wer nutzt den denn bitte noch? Die Version ist von Anfang 2008...

Beitrag von **WebmasterAlex** » 04.08.2011, 15:07

Ist ne alte Kiste und ich hab genug andere Server mit besser laufenden Websites,
außerdem ist das die erste Attacke und das zeigt doch wohl das die das gerade aktiv betreiben.. wie gesagt... absolut unsicher von meiner Seite aus aber wollte wenigstens helfen und bescheid sagen dass ihr mal schaut ob ihr nicht noch irgendwo ne alte phpmyadmin version liegen habt

Beitrag von **Synonym** » 04.08.2011, 15:39

Also nichts für ungut, aber wenn es nur um das "Bescheid sagen" geht, dann kann man hier ein neues Unterforum aufmachen und alle paar Sekunden etwas posten. Damals bezüglich dem proftp war das z.B. ein ganz anderes Thema. Das war akut und es gab keinen Schutz. Hier ist es nicht akut und einen Schutz gibt es schon seit Jahren.

Aber nicht persönlich nehmen, vom Grunde her ist es ja nur nett gemeint gewesen von Dir. Nur eben zu alt.

Und da ist aktuell auch nicht etwas "besonders aktiv", sondern die Deppen sind die ganzen Jahre, Tage, Sekunden unterwegs und greifen auf alles mögliche zu. Solche Logfile-Einträge habe ich tausende am Tag.

Solche Software grundsätzlich aus dem HTTP-Root raus.... Passwortschutz drauf und dann dennoch aktuell halten. Den Leuten ist es egal wie viel Besucher Du da hast, die wollen das System angreifen, mehr nicht.

Aber das ist einer der Gründe, warum ich auf meinen wichtigen Servern außer dem PMA keine andere freie Software nutze, auch kein Wordpress oder so.

Beitrag von **3rr0r** » 04.08.2011, 15:53

ist doch o.k. wenn solche Info gepostet werden ... hatte danah mal meine Versionen geprüft und sonst hätte ich das nie gemacht.

Einfach mal etwas mehr Toleranz zu neuen Leuten - kann nicht so verkehrt sein.

Beitrag von **Synonym** » 04.08.2011, 16:00

Das hat doch mit Toleranz nichts zu tun und mit neuen Leuten schon gar nicht. Ich hab ihn auch nicht persönlich "angegriffen". Aber wenn Dir das so wichtig ist, dann poste ich Dir gerne auch eine Meldung zu Wordpress von 2008. Oder was von Drupal? Plesk? PHP? Apache? MySQL, phpMailer, fpdf... Oder was willst haben...

Beitrag von **WebmasterAlex** » 04.08.2011, 16:13

Wie bei Synonym nutze ich auch nur PMA, der Rest ist komplett selbstprogrammiert deswegen brauche ich normal keine Updates. Klar PHP und Mysql werden regelmäßig geupdated aber ich nutze kein Forum, oscommerce, Joomla, Typo3 oder sonstigen "Schrott"

Aber wie gesagt die Webseite gibt es schon seit 2007 und hat auch nicht gerade wenig Besucher und rankt unter Top Keys richtig gut.. daher war für mich unverständlich dass es sie erst jetzt getroffen hat und nach ein paar mal Googlen hab ich nichts gefunden weil "zu alt" also habe ich mich mal mitgeteilt

aber ich denke es gibt einige die auch ne eine alte PMA Version haben

wie gesagt das ist ja nichts für den laufenden Server betrieb

Beitrag von **3rr0r** » 05.08.2011, 07:10

Synonym hat geschrieben:Ich hab ihn auch nicht persönlich "angegriffen".

Ich habe Dich auch nicht persönlich angesprochen - aber einige Kommentare waren mal wieder sehr überheblich.