Es ist ein Alptraum. Die Liveumgebung deines Kunden wurde gehackt und du weisst nicht, wie genau und welche Daten gestolen wurden. Schnell muss also untersucht werden, wo die Schwachstelle liegt um solche Angriffe in Zukunft besser abzufangen. Natürlich gibt es verschiedene Wege sich Zugang zu einer Liveumgebung zu verschaffen. In diesem Post möchte ich nur kurz darauf eingehen, wie mittels Bilddateien beliebiger Code eingeschleust werden kann.
Wie auf Snapfast und Sucuri beschrieben, kann beliebiger Code in EXIF von Bilddateien untergebracht werden. Oft genügt schon ein einfaches Script um einen neuen Administrator account zu erstellen. Alles weitere passiert dann im Hintergrund, oft unerkannt.
Leider hilft ein svn status oder git status nicht um geänderte Dateien zu erkennen, denn oft sind Verzeichnisse wie /media/ nicht versioniert.
Hier ein einfacher Befehl wie du solche Bilddateien mit “find” aufspüren kannst.
1 2 |
$ cd /var/www/{{{MAGENTO}}}/ $ find . -iregex '.*\.\(jpg\|gif\)' -exec grep -o -P 'base64_decode' {} \; |
Sollten Dateien auf dem Produktivsystem infiziert sein, bekommst du folgendes Suchergebnis.
1 |
Binary file ./media/test.jpg matches |