Hallo, ich habs gefunden !
Der Grund warum die Vierenscanner bei uns nicht angeschlagen haben ist einfach zu erklären.
Die Anti- Vierenprogramme suchen nur nach den bei ihnen in den Datenbanken bekannten Vierencodes.
Da es aber auf Dragracing.de keine echten Virencodes gibt, findet auch kein Scanner etwas.
Was ist passiert?
Durch einen FTP Hack wurden auf dem Server in einigen Programmdateien sogennate Redirects eingeschleust.
Der Programmcode hat mit Viren nichts zu tun. Redirects sind übliche Programmteile die beim Navigieren von Seite zu Seite oder innerhalb der Seite genutzt werden.
Nun haben die Hacker diese Redirects eingeschleust, um damit automatisch von einer Dragracing.de Seite auf eine Webseite mit Vierencode zu leiten.
Die nach der Umleitung aufgerufene Webseite versucht dann den Computer zu attakieren. Nicht aktuelle- und anfällige- Systeme werden dann von der fremden Seite infiziert.
Da diese Methode lange unendeckt geblieben ist, haben nur wenige Vierenscanner kenntniss darüber.
Das Problem liegt aber nun am erkennen des Codes. Der auf dem Server liegende Programmcode ist ja nicht verseucht und hat auch mit dem Virus an sich nichts zu schaffen.
Ich habe angefangen die Quelldateien von der hier verwendeten vbulletin Software durchzulesen.
In einigen Dateien hab ich jetzt Redirects gefunden die da vom System her keine Funktion haben und nicht hingehören.
Da die Zieladressen der Umleitung verschlüsselt im Programcode versteckt sind, hat eine suche nach Klartext Adressen keinen Sinn.
Ich vergleiche daher die vom System verwendeten Dateinen auf Änderungsdatum und Originalgröße anschließend wird der Code durchgelesen.
Mit geschultem Auge kann man sehen was verändert wurde.
Am Wochenende werde ich mal die restlichen ca. 5000 Dateien prüfen.
Vbulletin hat bereits ein Sicherheits Patch herausgegeben, was ich aber erst nach der Überprüfung installieren werde.
Zitieren
Lesezeichen