iframe Malware auf versch. vHosts, aber nur gelegentlich

[RippZ]

Guten Abend,

bin mittlerweile echt verzweifelt und hoffe das ihr mir noch weiterhelfen könnt.
Zur Situation:
Habe hier 2 Server auf denen ich beide das selbe Problem habe.
Beide laufen auf Debian Squeeze 1x 32bit und 1x64bit und verwalten einige vHosts, PHP läuft für suPHP.
Da sonst beide Systeme gleich sind schreib ich ich ab jetzt in Einzahl.
Vor kurzem erreichte mich ein Anruf das auf einer der Webseiten ein typisches iframe mit dreck von extern eingebunden wird.
<iframe src="http://drecksseite.com/ind ... ></iframe>
Natürlich gleich versucht das zu reproduzieren, jedoch ohne Erfolg.
Bin einige Zeit von einem lokalen Problem des Clients ausgegangen.
Mittlerweile sind noch einige Beschwerden/Mitteilungen bei mir angekommen und ich konnte das Problem nun auch schon feststellen.
Also das iframe erscheint nur ab und zu und das eher unregelmäßig.

Leider lässt sich das Problem nicht näher eingrenzen, dadurch das das iframe nur gelegentlich erscheint kann ich auch nichts mehr aus den Log Dateien holen das ich nicht mehr eingrenzen kann, wann der Einbruch erfolgte.

Wichtiger ist aber das iframe wegzubekommen und die Lücke zu finden.
Bisher hab ich das iframe nur in PHP Content gefunden und bin davon ausgegangen das sich das Zeugs per injections tief in die CMS, Blogs und Co eingenistet hat. Ein diff auf die Ursprungsdaten (nicht vom Server) ergibt jedoch gar nichts. Konnte das Problem sogar an einer Datei die nur <? phpinfo() ?> enthält reproduzieren. Der Output entspricht der normalen phpinfo Seite jedoch hat sich oberhalb des <title> ein iframe eingenistet.
Auch bei allen anderen Vorfällen, war das iframe immer oberhalb des <title> eingebunden.

Habe auch clamav, rkhunter und chkrootkit drüber laufen lassen und nach verdächtigen Prozessen gesucht, es ist einfach nichts vorhanden.
Die Apache Konfiguration und die Module wurden auch nicht verändert.

Die Log Dateien geben leider gar nichts her (eig. klar es funktioniert ja alles). Und bin jetzt mit meinem Latein leider am Ende.

Irgendwie wird ein x-belibiges PHP Skript zwischen Dateisystem und IP-Stack manipuliert.
Hoffe ihr habt noch Ideen!

Danke

Thomas

[Joe User]

Bitte Folgendes als root ausführen und die Ausgabe unverfälscht hier posten:

Code: Select all

grep -rin 'drecksdomain.tld' /etc /pfad/zu/vhosts

Pfad zu den VHosts anpassen und je nach Umfang der Websites etwas Zeit mitbringen.

[RippZ]

Also ich habe bereits in der Vergangenheit den gesamten Server nach der URl durchsucht und nichts gefunden. Lasse jetzt aber nochmal die Suche durchlaufen.
Habe auch schon nach einem encoded string gesucht und leider ebenfalls nichts gefunden.
Das würde im Fall auch nicht erklären, wieso das iframe nur manchmal auftritt und wie es sogar in eine phpinfo Datei kommt?

server:~# grep -rin 'domain.tld' /etc
grep: Warnung: /etc/network/run: Rekursive Verzeichnisschleife.

grep: Warnung: /etc/apache/conf: Rekursive Verzeichnisschleife.

grep: Warnung: /etc/apache2/conf: Rekursive Verzeichnisschleife.

Die Suche in /var/www/ läuft noch, jedoch denke ich nicht das was gefunden wird.

[RippZ]

Also die andere Suche hat gar nichts ergeben :(
Hab auch schon das ganze Web durchsucht, irgendwie bin ich der einzige mit dem Problem.

[daemotron]

Wenn die PHP- und sonstigen hochgeladenen Dateien nicht manipuliert wurden, kommen eigentlich nur noch PHP selbst (incl. Module) oder Apache (bzw. dessen Module) in Frage.

[Joe User]

Der Datenbankinhalt kommt ebenfalls noch in Frage, also mal Folgendes ausführen:

Code: Select all

mysqldump --lock-all-tables --all-databases -uroot -p > mysqldump.sql
grep -in 'domain.tld' mysqldump.sql

[rudelgurke]

Hast du die php ini's der Vhosts überprüft ?

Nicht dass per auto_prepend / auto_append ein Script eingebunden wird dass dort nichts zu suchen hat.

Kann auch per base64 / strrev "kodiert" usw. vielleicht Content nachladen.

[ddm3ve]

Bitte Folgendes als root ausführen und die Ausgabe unverfälscht hier posten:

Code: Select all

grep -rin 'drecksdomain.tld' /etc /pfad/zu/vhosts

Pfad zu den VHosts anpassen und je nach Umfang der Websites etwas Zeit mitbringen.

Ich würde "drecksdomain.tld" als potentieller Angreifer / Störenfried nicht im Klartext verankern.

[RippZ]

Apache und PHP fehlen noch, werde ich später mit md5 hashs abgleichen.
Datenbank schließe ich aus, denn auch Skripte ohne DB Zugriff sind betroffen (phpinfo).
Die php.inis sind im Order /etc/ wurden auch vom grep geprüft und sind frei, bin die Dateien auch nochmal durch gegangen ob ich irgendwas verdächtiges Finde. Denn wie ddm3ve angesprochen hat glaube ich nicht das sowas Klartext irgendwo drinsteht.

[rudelgurke]

Zu den ini's meinte ich nicht direkt "grep"

Etwas wie:

auto_prepend_file = "/home/vhost_1/tmp_verzeichnis/verstecktes_script"

reicht mitunter.

[RippZ]

Sorry das ihr erst jetzt eine Antwort bekommt, aber ich habe eine gute Nachricht und zwar habe ich das Ding noch am 27. gefunden. Habe diesmal mit debsums die md5-Hash Werte aller installierten Dateien verglichen und auf beiden Servern war die mod_info.so manipuliert. Im Nachhinen konnte ich dann auch noch seg faults ausgelöst von dem Modul finden. Nach dem Austausch des Moduls konnte das iframe nicht mehr reproduziert werden.

Vielen Dank für eure Hilfe und eure Ratschläge!

[Joe User]

Da das Modul root gehört, ist zwangsläufig davon auszugehen, dass Du nicht mehr allein root bist und das System somit komplett neu aufgesetzt werden muss.