Kürzlich wurde ich durch die Traffic-Überwachung unseres Hosters auf erhöhte Aktivitäten in der Webpräsenz eines unserer Kunden aufmerksam. Da sich der tägliche Transfer in relativ kurzer Zeit fast verdoppelte, habe ich etwas genauer geprüft, welche Ursache es für diesen Anstieg gab. Es ist zwar ganz nett, wenn eine Webseite häufiger aufgesucht wird, aber dieses Wachstum war nicht wirklich nachvollziehbar.
Meine erste Anlaufstelle war die Webstatistik. Der Kunde nutzt für die Auswertung AWStats. Im Abschnitt Rechner stellte ich fest, dass der eigene Server mit Abstand das meiste Volumen erzeugte. Da wurden gleich mehrere Gigabyte an Daten transferiert. Wieso denn das? Zwei Monate vorher tauchte der Server in dieser Liste noch nicht einmal auf.
Nun war als nächstes das Access-Log des Webservers dran. Was waren das für Aufrufe? Und ich musste nicht lange suchen. Da kamen permanent Anfragen vom eigenen Server rein. Als User-Agent war selfbot eingetragen. Google lieferte zu diesem Begriff leider keine weiteren Erkenntnisse. Einen selfbot gibt es also nicht. Es schien sich aber wirklich um einen Bot zu handeln, denn es wurden systematisch alle möglichen Seiten des Portals aufgerufen. Da von unserer Seite nichts installiert wurde, lag nun die Möglichkeit eines Server-Hacks auf der Hand.
In diesen Fällen muss man nun in die Vergangenheit schauen. Der selfbot war vor zwei Monaten zum ersten Mal in den Logs erschienen. Den entsprechenden Ausschnitt im Log habe ich mir genauer angesehen. Und tatsächlich! Es hatte jemand eine Backdoor eingeschleust. Nach weiteren Analysen konnte sowohl die Backdoor als auch das Einfallstor, eine unsichere TYPO3-Extension, entfernt werden. Doch die Zugriffe des selfbot hörten trotzdem nicht auf. Da musste also noch mehr sein. Ich habe dann festgestellt, dass diesen Requests immer eine Anfrage des Google-Bots vorausging. Bei diesem Zusammenhang musste ich natürlich sofort an den sogenannten Pharma-Hack denken. Bei diesem Hack wird die Seite nur für den Google-Bot manipuliert. Es werden Werbelinks für diverse pharmazeutische Präparate in die Seite eingeschleust. Das perfide an diesem Hack ist die Tatsache, dass der Eigentümer der Webseite die Manipulation nicht bemerkt. Sie wird nur dann sichtbar, wenn man die Webseite über eine Google-Suche erreicht.
Mit diesem Wissen ausgestattet, habe ich das Script mit dem Schadcode dann schnell in TYPO3 gefunden. Die Datei wurde von den Angreifern zusätzlich im Extensionverzeichnis abgelegt und dann in der localconf.php geladen. Mit dem Löschen dieser Datei war der Spuk mit dem selfbot beendet!
Das Script mit dem Schadcode habe ich mir im Anschluss noch etwas genauer angesehen. Die Datei war natürlich kodiert
<?php Error_Reporting(0);
$xVebaPURjEzLc="pVhtc5tGEI7lxAghozHC+Eoq9y/4m7829owMmhhq8SIzSLrJB2pJ7UitX.....
Nach dem Übersetzen habe ich dann den selfbot gefunden:
$selfagent = 'selfbot';
Das Script fängt vereinfacht gesagt alle Anfragen von Suchmaschinen ab und startet den identischen Request unter dem User-Agent selfbot. Der Seiteninhalt, der dann als Ergebnis kommt, wird nach verschiedenen Schlüsselwörtern untersucht. Diese sind sogar international. Im deutschen wird nach "und", "auf", "der" und "die" gesucht. Bei jedem Vorkommen werden dann die entsprechenden Werbelinks eingefügt. Diese wiederum stammen nicht aus dem Script, sondern werden von einem externen Server (http://humspm.com) nachgeladen.
Abschließend sei noch angemerkt, dass der Kundenserver nun natürlich noch vollständig abgesichert wurde. Eine Änderung von Dateien in den Systemverzeichnissen von TYPO3 ist nun nicht mehr möglich. Und der Server wird nun auch im Rahmen unseres Kundensupports permanent auf Manipulationen geprüft.