js:Redirector-ACH
 

Habe das fiese kleine Ding in einem WebAccount mit Typo3 gefunden. Laut FTP-Logs hatte ein Angreifer 4 Tage Zeit und hat von Servern aus verschiedenen Ländern den entsprechenden Trojaner implantiert. Dabei ist er wohl einmal den kompletten Server durchgegangen, zumindest soweit ihn die Zugriffsrechte trugen und hat sowohl lesend als auch schreibend zugegriffen.

Man findet das Ding, wenn man die Seiten nach "f1930e" sucht, denn wenigstens hat der Anbieter eine Kennung hinterlassen. Man findet das ganze sowohl in PHP als auch in HTML-Dateien, wo es eine HEX-Codierte Javascript-Funktion hinterlässt, die ein iFrame mit einer Website in Italien aufruft. Anscheinend hängt es aber keine URL-Parameter an, d.h. es dürften doch eigentlich keine Daten übertragen worden sein.

Kennt jemand das Ding? Ist das Ding richtig bösartig bzw. worauf hat es das Ding abgesehen? Überträgt sich der Code automatisch oder wird er manuell von jemandem im Zielsystem implantiert? In den Logfiles habe ich Hosts aus mehreren Ländern gefunden, aber das heißt ja nichts. Braucht der Angreifer ein FTP-Passwort oder könnte er die FTP-Logs auch mit einer gekaperten PHP-Funktion erzeugen?

Ich frage, weil das eigentlich ein Kundenprojekt ist und ich will sicher sein, dass ich das Ding beim nächsten mal abwehren kann.