Wie Sie feststellen können, ob Ihre Website Teil des Botnetzes StealRat ist

Originalartikel von Jessa De La Tore, Senior Threat Researcher

Wir beobachten nun schon seit ein paar Monaten einen Spambot namens StealRat, der vornehmlich kompromittierte Websites und Systeme missbraucht, um sein Unwesen zu treiben. Unsere Überwachung erfolgte in dieser Zeit ohne Unterbrechung und wir konnten ungefähr 195.000 kompromittierte Domänen und IP-Adressen ermitteln. Der gemeinsame Nenner dieser kompromittierten Sites war, dass darauf verwundbare CMS-Software wie WordPress, Joomia und Drupal lief.

In diesem Blogeintrag wollen wir diskutieren, wie Website-Administratoren prüfen können, ob ihre Website kompromittiert wurde und Teil des Botnet StealRat ist.

Im ersten Schritt gilt es, nach Spammer-Skripten zu fahnden, die weit verbreitet sind wie sm13e.php oder sm14e.php. Freilich können diese Skripte auch andere Dateinamen tragen, daher ist es zu empfehlen, nach allen unbekannten PHP-Dateien Ausschau zu halten.

Spamming-Skripte innerhalb der kompromittierten Website

Eine andere Methode, bösartige PHP-Dateien aufzuspüren, besteht darin, im Code nach einem der folgenden Strings zu suchen:

  • die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
  • die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

Nach diesen Strings lässt sich unter Linux mit Hilfe des grep-Befehls grep „die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321“ /path/to/www/folder/ suchen, während unter Windows der Suchbegriff content:“die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″ lautet.

Die erwähnten Strings in der PHP-Datei

Diese Strings sind Teil des „die“-Codes der PHP-Datei (zum Beispiel für den Fall, dass gewisse Parameter nicht erfüllt werden). Unsere Kollegen von DeepEnd Research haben bereits eine Kopie von sm14e.php veröffentlicht. Soweit wir wissen, handelt es sich dabei um die neueste Version des Skripts, die zurzeit im Web im Umlauf ist. Verglichen mit sm13e.php unterstützt sm14e.php mittlerweile verschiedenste E-Mail-Adressen, an die Spam-Nachrichten gesendet werden. Aber abgesehen davon, ist es immer noch die gleiche PHP-Datei, welche die folgenden Parameter akzeptiert:

l –> E-Mail-Adresse (des Spam-Empfängers)

e –> neun zufällig erzeugte Zeichen

m –> Mail-Server (z.B. Googlemail)

d –> Nachrichtenvorlage

Die Antwort der Datei hängt von den gelieferten Parametern sowie vom Ergebnis der Spamming-Routine ab:

Skript-Antworten auf Basis der Ergebnisse

Wir empfehlen Website-Administratoren, die Dateien, die den oben beschriebenen ähneln, zu löschen und ihr Content-Management-System zu aktualisieren – dies gilt insbesondere für WordPress, Joomia und Drupal. Weitere Informationen zu dieser Bedrohung und deren anderen wichtigen Komponenten, die berücksichtigt werden müssen, sind in unserem Forschungspapier Stealrat: An In-Depth Look at an Emerging Spambot erhältlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*