Mein Samstagskrimi

was weder zu YaCy noch zum Thema Suchmaschinen gehört

Mein Samstagskrimi

Beitragvon Anon » So Sep 06, 2009 1:09 am

Eigentlich gehört das eher in "Offtopic", aber da kann man nicht anonym posten. Gegebenfalls also den Thread einfach verschieben.

Mir sind vorhin ein paar URLs im YaCy-Log aufgefallen, weil sie scheinbar zufällig erzeugte Pfade enthielten. Die Seiten hinter diesen URLs hatten als Inhalt auch nur zufällig erzeugten Text. Ich dachte zuerst, YaCy hätte vielleicht eine robots.txt nicht korrekt vearbeitet und wäre in eine Falle gelaufen (so in der Art: http://www.floodgap.com/retrobits/ckb/iru-encirclekyyy.html).

Dann ist mir aber aufgefallen, dass die URLs in unterschiedlichen Domains liegen. Hier einige Beispiele:

http:// rigthesails.com/durxl/bxwij/incall.php
http:// charliesclub.com/swqzx/cexkk/vega.php
http:// collectingvintage.com/seflq/oxdye/sierra.php
http:// yourwebhostpros.com/oejll/rxmox/grate.php
http:// area43420.com/sjcja/ixart/grant.php
http:// needleworkdesignsbycj.com/oftmi/goghu/du.php
http:// fcchk.org/omlzc/lwmkt/doppler.php
http:// ww w.superbetta.com/kszhy/dypyl/lol.php
http:// lipking.com/qugmn/fewdi/woman.php
http:// ivband.com/uoibi/hmitl/excerpts.php
http:// eb4uofwny.com/ifhyg/wwlpb/inguinal.php
http:// eddierivera.com/iyild/chrno/achat.htm
http:// bpartstudio.com/btsyb/eiwat/mauser.htm
http:// sierrahomesnw.com/nofqe/iulug/echoes.htm
http:// cutbankgraphics.com/sjtup/uegdk/pub.php
http:// eb4uofwny.com/ifhyg/wwlpb/clinton.php
http:// sea-side-sales-costa-rica.com/cygbc/cwwpz/acetic.php

Zuerst dachte ich, dass alle Seiten beim gleichen Anbieter gehostet sind, aber das sind sie nicht. Auch sonst gibt es keinen offensichtlichen Zusammenhang zwischen den Seiten.

Ich habe dann mal angefangen, die Pfade von hinten nach vorne zu löschen und mir die Verzeichnisse anzuschauen. Wenn man den Dateinamen und den ersetn Pfad von hinten löscht, kommt man in ein Verzeichnis, in dem einige Dateien liegen, die offensichtlich dazu benutzt wurden, die zufälligen Seiten zu erzeugen. Eine Suche nach einigen der Dateinamen hat tatsächlich zu Ergebnissen geführt.

Es gibt einerseits Berichte von Leuten, deren Seiten gehackt wurden:
http://hphosts.blogspot.com/2009/06/rog ... e-can.html
http://www.webhostingtalk.com/showthread.php?p=6289521
http://www.webhostingtalk.com/showthread.php?t=726368
http://www.phpbuilder.com/board/showthr ... t=10359900
http://css-tricks.com/forums/viewtopic.php?f=4&p=4017
http://www.offensivecomputing.net/?q=node/908
http://forums.oscommerce.com/index.php? ... ded&start=
http://www.codingforums.com/showthread.php?t=150328

In der Diskussion bei Codingforums wird vermutet, dass ein Skript namens phpSecurePages die Schwachstelle war, durch die der Schadcode eingeschleust werden konnte. Tatsächlich hat das Skript wohl mal eine Schachstelle enthalten, die aber wohl schon seit Jahren gefixt ist: http://www.phpsecurepages.com/changelog.php

Andererseits kann man Webalizer-Seiten von Seiten finden, die wohl mal betroffen waren:
http://www.generalsolarelectric.com/sta ... 00905.html
http://www.mygraphicsdept.com/stats/usage_200904.html

Auffällig ist, dass der Traffic in den Monaten, als die Seiten betroffen waren, an wenigen Tagen stark angestiegen ist.

Außerdem wurde der Code des PHP-Skripts, das die zufälligen Seiten erzeugt gepostet:
http://pastie.org/521034.txt
http://pastebin.com/f76757d15

Beide Versionen unterscheiden sich übrigens!

Zuerst habe ich mich gefragt, warum jemand sowas macht. Um den Pagerank einer oder mehrerer Seiten zu erhöhen, scheint mir das Vorgehen nicht besonders geeignet zu sein. Als ich mir die Webalizer-Statistiken nochmal vorgenommen habe, sind mir auf den folgenden Seiten einige Linsk aufgefallen:
http:// ww w.mygraphicsdept.com/stats/usage_200905.html
http:// ww w.generalsolarelectric.com/stats/usage_200906.html

Dort sind Links vorhanden, die Banknamen beinhalten. Wenn ich auf die Links klicke, zeigt mein Browser eine Warnung an. Die Seiten gibt es zwar nicht mehr, aber es ist relativ offensichtlich, dass es sich um Phishing-Seiten gehandelt hat, die einige hundert Mal besucht wurden.

An dieser Stelle endet mein kleiner Ausflug in die Welt der Onlinekriminalität. Einerseits weiß ich nicht, wie ich noch mehr herausfinden kann, andererseits möchte ich das auch gar nicht, weil ich keine Ahnung habe, wer hinter der ganzen Sache steckt. (Deshalb auch das anonyme Posing.)
Anon
 

Re: Mein Samstagskrimi

Beitragvon Quix0r » Di Feb 09, 2010 8:20 pm

Um es mal so zu sagen: Ich nutze Cracker Tracker Standalone - Enhanced Edition und habe bis heute null "Owned By Some-Foo-Cracker" Meldungen auf meinen Seiten gesehen. :) Natuerlich ohne Garantie.
Quix0r
 
Beiträge: 1347
Registriert: Di Jul 31, 2007 9:22 am
Wohnort: Krefeld


Zurück zu Off-Topic

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste