A Study in … Viagra

Sherlock Holmes zum Zweiten. Der Blogpost von Jürg über gehackte TYPO3-Seiten hat viel Staub aufgewirbelt worauf mehrere SOS-Rufe von betroffenen Seitenbetreibern bei uns eingetroffen sind. Das Problem war, dass einige ältere TYPO3 Betreiber plötzlich unwissentlich potenz-steigernde Pharmazeutika verkauften. Seit wir auf dieses Problem aufmerksam geworden sind, stossen wir regelmässig auf neue Opfer des „Pharmahacks“. TYPO3 ist dabei übrigens bei weitem nicht das einzige geplagte System. Perfiderweise ist der Hack auf den ersten Blick nicht sichtbar – er wird nur wirksam, wenn der Surfer via Google auf die Seite stösst. Dann wird server-seitig neuer Text in die Webseite gerendert und beim Klick auf den Link von Google aus, gelangt der Kunde nicht auf die eigentliche Seite, sondern wird auf eine (meist russische) Seite weitergeleitet. Die verkauft Viagra – oder etwas anderes blaues.
Neulich erhielten ich erneut den Auftrag, den Verkauf blauer Pillen auf der Seite eines Dritten zu unterbinden. Diesmal wurde das Problem mit „Medikamentenhack“ beschrieben.

Hier folgt ein Bericht meiner Spurensuche in der Hoffnung, dass Anderen mit den selben „Krankheitssymptomen“ geholfen werden kann.
Als erstes habe ich mich auf dem System, im TYPO3 Backend und auf dem Server etwas umgesehen. Dabei handelte es sich nicht um eine „verwahrloste“ Webseite sondern um eine recht gut ausgebaute Plattform mit einem relativ aktuellen TYPO3 Core und einem sauberen Aufbau und umfangreicher Funktionalität. Ein eher grosser Auftritt.

Gefährliche Extensions

Auf Anhieb sind mir jedoch einige potenziell (sehr) gefährliche Extensions aufgefallen, die auf einem Live-System nichts verloren haben: „t3quixplorer“ – erlaubt die Navigation auf dem Filesystem mehr oder weniger uneingeschränkt und ermöglicht das Bearbeiten von PHP-Scripts direkt über das Webinterface – der reinste Security-Alptraum. Es ist nicht auszuschliessen, dass diese Extension von einem der Angreifer installiert wurde. „devlog“ ist eine Extension welche zu Entwicklungszeiten nützlich sein kann – jedoch nicht in einem Live-System. Ein anderer Kandidat, welcher jedoch nicht installiert war, ist die „phpmyadmin“ Extension, welche oft aus Bequemlichkeit installiert wird. Auch diese Extension stellt ein beträchtliches Sicherheitsrisiko dar. Im übrigen beinhaltete das System einige „handgemachte“ Extensions – schnell zu erkennen an fehlenden Icons und der aussagekräftigen Versionsnummer 0.0.0 – Stable? Ja genau!

Backend-User

Ich habe ausserdem alle Backend-User überprüft und mit dem Kunden zusammen sichergestellt, dass keine unbekannten Nutzer registriert waren. Sollte dies der Fall sein, würde ich empfehlen, alle User neu anzulegen und neue, sichere Passwörter zu vergeben.

Spurensuche im Dateisystem

Danach habe ich mich etwas vertieft auf die Spurensuche gemacht. Aus Erfahrung weiss ich mittlerweile, wonach ich suchen muss. Eine Suche im Filesystem nach „base64_decode(“ führt meist zu verdächtigen Code-Zeilen oder Dateien:

find . -name "*.php" -print | xargs grep "eval(base64_decode("

Meist sind infizierte Dateien im Ordner typo3conf/ zu finden. Darin befinden sich die von TYPO3 auszuführenden Extensions. Der Code darin kann potenziell schädlich sein.
Auf diese Weise bin ich auf zwei verdächtige Dateien gestossen. Eine Datei war in einer nicht öffentlichen, für Kundenbedürfnisse entwickelten Extension enthalten. Die andere im ./uploads/ Ordner der bekannten Newsletter-Extension tx_directmail.

./uploads/tx_directmail/trololo.php:<?php eval(base64_decode("ZXZhbChiYXNlNjRfZGVjb2RlKCJaWFpoYkNoaV
lYTmxOalJmWkdWamIyUmxLQ0phV0Zwb1lrTm9hVmxZVG14T2FsSm1Xa2RX
YW1JeVVteExRMHBoVjBad2IxbHJUbTloVm14WlZHMTRUMkZzU20x…

In beiden Fällen war es dem Angreifer möglich, über ein ungenügend geschütztes Formular PHP-Dateien auf das System zu laden. Geschieht dies, und sind diese Dateien auch ausführbar, hat man verloren.
Bei genauerem Hinsehen habe ich in der handgestrickten Extension gleich noch mehr zerstörerische Dateien gefunden welche die unscheinbaren Namen „class.php“ und „footer.php“ trugen. Ich musste erst beim Dienstleister des Kunden nachfragen, um sicher zu stellen, dass es sich wirklich um bösartige Dateien handelte. In diesen Fällen hatten die Angreifer ganze Arbeit geleistet – auch das Erstelldatum war ein weit zurückliegendes. Oft kann man im System auch einfach nach Files suchen, die im Zeitraum des Hacks verändert wurden. Ich konnte diesen durch verdächtige Files auf etwa 76 Tage zurückliegend vermuten und bin mit dem Befehl

find . -iname "*.cache" -mtime -77 -mtime +75 -type f

auf weitere verdächtige Dateien gestossen. Da im Ordner typo3conf während dem Betrieb eigentlich keine Dateien geändert werden sollten, sind dies zumindest dort, nur eine Hand voll. Mein Tipp: in typo3conf/ext/ darf auf einem Live-System gar nichts geändert werden können. Dem Server (Apache) sollen also alle Schreibrechte auf typo3conf/ext/ entzogen werden. Auch localconf.php darf nie verändert werden – damit wird es für einen Angreifer sehr schwer, nachträglich Extensions zu installieren, ohne dass er Serverzugriff hat.

Bereits erwähnte class.php war mehrfach base64 encoded und nachdem ich diese mehrfach decodiert hatte wurde ihr Zweck offensichtlich. Sie leitet die Benutzer welche von viagra-verseuchten Google-Resultaten kommen auf die russischen Verkaufsseiten weiter:

Ja ist denn heut‘ schon Weihnachten?

Bei der Analyse von ./uploads/tx_directmail/trololo.php wurde ich leicht überrascht. Ebenfalls nach mehrmaligem encoden kam folgendes zum Vorschein:


Ein ausgewachsenes Backdoor! Inklusive Passwortschutz. Klar russischen Ursprungs. Mit diesem Tool kann man auf einem Server so ziemlich alles machen. Dateien erstellen, löschen, bearbeiten, Rechte setzen. Damit kann man die localconf.php auslesen – dort steht (meist) der MySQL User und das Passwort im Klartext. Somit kann der Angreifer auch auf die Datenbank zugreifen. Doppelt dumm, wenn der gleiche User auf mehrere Datenbanken Zugriff hat. Wenn man localconf.php nicht schreibgeschützt hat, kann er ausserdem ein neues Install-Tool Passwort erstellen. Damit kann er sich dann einen Backend-Administrator erstellen – etwas einfacher als direkt über die DB. Netterweise nennt TYPO3 bei einer missglückten Anmeldung am Install-Tool auch gleich den dazu benötigten MD5 Hash den man dann nur noch im localconf.php eintragen braucht.
Das Backdoor in Action:

Und weiter geht’s…

Nachdem ich die Suche bereits abbrechen wollte – es war mittlerweile schon spät – bin ich im fileadmin/ in den Templates der Webseite auf eine weitere mysteriöse Datei gestossen – eine PHP Datei unter den CSS Files; en.php
Diese enthielt neben den verdächtigen base64 Codes auch noch folgenden aufschlussreichen Text:

Codz by angel(4ngel)
Make in China
Web: http://www.4ngel.net

Die Chinesen waren also auch am Werk! Nach erneut mehrmaligem Encodieren und Entfernen eines Passwortschutzes wurde offensichtlich, dass die Chinesen den Russen mittlerweile – zumindest im Design – voraus sind. Ebenfalls eine mächtige Hintertüre – einmal in schön.

Fazit, Suche, Massnahmen

Abschliessend konnten wir den Grossteil des Hacks wohl innerhalb einiger Stunden finden und entfernen. Nach dem der übliche Selbstheilungsprozess von Google eingesetzt hatte sind nun die Suchresultate wieder frei von Viagra. Für die Suche nach infizierten Files benutzen wir die Dateisystemsuche nach den Begriffen eval() und base64_decode(), Datumsangaben, verdächtige PHP-Dateien an unüblichen Orten – PHP-Files im uploads Ordner oder in andern Ordnern mit normalerweise statischen Inhalten. Auch eine Hilfe für das schnelle Finden von Schadcode kann sein, wenn die TYPO3 Temp-Files im typo3conf/ Ordner nach base64_decode durchsucht werden. Diese Dateien werden von Typo3 geladen und enthalten einen Zusammenzug vieler ausgeführter Dateien. Oft sieht man dort schnell, ob, und wo ungefähr, ein System vom „Pharmahack“ befallen ist. Handgemachte Extensions die nie den Weg ins TYPO3 Repository gefunden haben sind ein erhöhtes Sicherheitsrisiko. Alle Formulare mit Upload-Funktionalität sind ein möglicher Angriffspunkt. Auch in die Datenbank sollte man einen Blick werfen. Es kann sein, dass in den Tabellen von RealURL unerwünschte Weiterleitung enthalten sind. Auch in tt_content oder in der pages Tabelle kann nach Viagra gesucht werden. Ausserdem sollte man alle Cache-Tabellen leeren.

Die befallenen Dateien und Extensions werden gesäubert oder entfernt. Nicht (mehr) benötigte Extensions sollten vom System gelöscht werden – nicht nur deaktiviert! Unnötige Backend- und Frontend-User sollten ebenfalls gelöscht und die Passwörter sicherheitshalber angepasst werden.
Alle Schreibrechte für den Server sollten auf typo3conf/ext und auf der localconf.php entfernt werden. Dies gilt selbstverständlich auch für den ganzen TYPO3-Core. Sicherheitshinweise von TYPO3 sollten ernst genommen werden:

Das Install-Tool kann auf dem Live-System entfernt werden und der Zugriff auf das Backend nur für einen bestimmten IP-Range, vielleicht über eine spezielle Sub-Domain und zusätzlich mit einem .htaccess Schutz, versehen werden. Auch HTTPS für das Backend schadet kaum.
Natürlich sollte darauf geachtet werden, dass TYPO3 und verwendete Extensions auf einem aktuellen Stand sind. TYPO3 Bug-Fix Releases sollten wenn möglich immer installiert werden da diese Security-Fixes enthalten und normalerweise problemlos zu installieren sind.

Endlich WordPress Rock’n’Roll.

Die Namics Blogs sind neu auf WordPress. Wir verlassen das behäbig majestätisch ungelenke MovableType und lancieren unsere Blogs auf WordPress Basis. Mit typischem Namics Flavour auf Terrific Basis und zeitgemässer Adaption mit responsive Layout.

Nein. MovableType war kein strategischer Entscheid. 2005 war es alleine schon eine Sensation, ein Corporate Blog zu führen und in der Potenz davon, dass Mitarbeitende an der öffentlichen Kommunikation auf Augenhöhe mit dem CEO teilhaben konnten. Ein willkürlicher Ausschnitt aus der Wayback-Machine gibt Eindrücke; Jürg hat sich mit HTML Framesets und Fehlermeldungen beschäftigt, Markus Tressl war auf Erkundungstour mit Google Earth und Bloggingtom hat sich offenbar für die Miss Italia interessiert ;-).

Screen Shot - Namics Blog 2005

Über 2’000 Beiträge und 4’700 Kommentare später befinden wir uns in einem neuen Zeitalter.  Facebook, Twitter, Flickr, XING – Direkt oder indirekt, bewusst oder unbewusst partizipiert die Belegschaft an der Unternehmenskommunikation. Alle rund 330 Namics Mitarbeiter verfügen vom ersten Arbeitstag an über ein Login und Passwort und können ohne Publikationsprozesse Blogposts veröffentlichen. Schreiben, Enter drücken, Zägg, und Google weiss davon. Die Namics Blogs haben ihren festen Platz im Kommunikationsmix in der Unternehmenskultur.

Super Terrific und zeitgemäss

Aber auch in punkto Technik und Medienverhalten hat sich die Welt verändert. Definitiv Zeit für einen Schritt vorwärts. Roger hat die Namics Blogs neu auf WordPress (Achtung jetzt wirds etwas technisch) auf Basis des Terrific Frameworks von Remo umgesetzt und für  „Responsive Layouts“ für die Anzeige auf mobilen Endgeräten optimiert. Das Terrific WordPress Theme wird demnächst frei verfügbar publiziert. „In order to do so“ hat er klick-klack gleich auch einen MovableType-to-Wordpress-Importer geschrieben, welchen er jetzt bereits unter Open Source Lizenz gratis auf WordPress.org zur Verfügung stellt. Über 1000 Downloads sprechen für ein gewisses Bedürfnis, den Schritt von Movable Type nach WordPress zu machen. Wie wir auch.


Screenshot – Namics Blogs – Responsive Design

Was jetzt?

Optisch bleiben wir bewusst beim typisch hemdsärmeligen Blog Design –  in der Anmutung der alten Blogs. Allerdings  optimiert  auf unsere Leser mit den mobilen Endgeräten, powered by Terrific, was uns die Weiterentwicklung enorm vereinfacht und in der Hoffnung, dass wir das 90-9-1 Prinzip durchbrechen werden und unsere Mitarbeiter eine wesentlich tiefere Kontributionsschwelle für die Publikation haben noch aktiver bloggen werden. Weil WordPress einfach selbsterklärend ist. Einfacher wird es für die Kommentarschreiber. Ohne nerviges „Captcha-Verfahren“ dürfte auch Peter Hogenkamp wieder häufiger unsere Beiträge kommentieren.

 

PS:
Was schreibe ich eigentlich da? Seit geraumer Zeit propagiere ich Management Commitment, Vorleben, Geduld, Passion als zentrale Erfolgsfaktoren für die Kommunikation 2.0. Jürg Stuker hat bis zur Migration der Blogs 875 Beiträge verfasst. Da hätte er diesen Post eigentlich auch selber schreiben können ;-). Merci Jürg für Deine anhaltende Passion, merci Roger für Deine 0-100 Performance in Rekordzeit und merci an alle Autoren, die die Namics Blogs so lieben wie ich. Schreiben. Enter. Zägg.

PPS:
„ERSTER!“ auf den neuen Namics Blog ist Roger. Als geistiger Vater und treibende Kraft in der Migration gibt er Einblicke ins Making-of der neuen WordPress Blogs.

 

Erster! – Die Namics Blogs neu auf WordPress. Das technische Gedöns.

Die fünf Namics Blogs wurden in den letzten Wochen von Movable Type auf WordPress migriert. Die grösste Herausforderung des Projektes war die vollständige Datenübernahme aus dem etwas in die Jahre gekommenen Movable Type System. Bei mehr als 2’000 Posts wäre eine manuelle Nachbearbeitung im grossen Stil schlicht nicht tragbar gewesen. Wichtig war uns auch eine wartbare technologische Plattform, sowie die Integration unseres Frontend Frameworks Terrific. Der nachfolgende Artikel für Technik-Interessierte beschreibt einige Eckpunkte und technische Details des Projektes.

(mehr …)