Spam Links in alter Modx 0.9.1p2 Version entdeckt

Beim Anzeigen der Webseiten Statistiken mit Piwik fiel mir auf, dass alle Seitenzugriffe im Besucherlog keine Zielseiten enthielten. Als Aktion eines Webzugriffs stand immer nur: „Seiten-URL nicht definiert“.

Natürlich suchte ich zuerst den Fehler bei Piwik und so kam ich am Ende an die Stelle, an die der Trekking-Code eingebaut werden sollte. Und siehe da – nach dem Piwik Trackingcode fand ich folgende SPAM-Links die dort nichts zu suchen hatten:

<div style="position:absolute;left:-2311px;top:-2794px;">
<a href="http://www.teemphotonics.com/products1/photonics-integrated-circuits1/teem-photonicss-capabilities/ion-exchange-phenomenon1.html">low price cigarettes</a>
<a href="http://www.appea.fr/acheter-cialis-tadalafil.html">acheter cialis tadalafil</a>\n
<a href="http://www.lahorltd.com/discount-cigarettes-monarch">discount cigarettes modesto ca</a>
<a href="http://www.valtom63.fr/acheter-du-cialis-sans-ordonnance.html">acheter du cialis en ligne</a>
<a href="http://www.koaproducts.com/cheap-cigarettes-doral-lights.html">cheap cigarettes doral lights</a>
<a href="http://www.ncsus.net/viagra-cialis-eller-levitra.html">steht cialis auf der dopingliste</a>
<a href="http://robocup.e-technik.uni-rostock.de/index.php?id=861198">cialis acheter ligne</a>
<a href="http://www.letrefle-nehna.fr/achat-viagra-sur-internet.html">achats viagra</a>
<a href="http://www.soyuz.fr/commande-viagra-canada.html">commande viagra canada</a>
</div>

Nun begann die Suche nach dem eingeschleußtem Schadcode. Die Webseite ist schon etwas älter – hier wird noch das stark veraltete Modx 0.9.1p2 verwendet. Irgendwann nach dem Deaktivieren des Modx-Plugins „Quick ManagerManager“ verschwanden die SPAM-Links von der Webseite.

Jetzt wollte ich wissen wie der Schadcode dorthin gelangte und welche Dateien noch betroffen sind. Auf der einer schnellen Googlesuche nach diesen Anzeichen fand ich auch noch andere Betroffene.

Im Event-Log von Modx sah ich dann auch verdächtige Log Einträge und weitere Hinweise:

Verdächtige Aktivitäten im Modx-Log weisen auf den Angriff in
Verdächtige Aktivitäten im Modx-Log weisen auf den Angriff in

Das bedeutet, dass der Angreifer sich mit dem Admin eingeloggt, Benutzer angelegt, Daten hochgeladen/geändert und die Plugins „Quick ManagerManager“ und „Forgot Manager Login“ verändert hat. In der assets/cache/siteManager.idx.php fand ich dann ebenfalls noch den typischen Schadcode:

eval(gzuncompress(str_rot13(base64_decode('a5zlfX1/E7fS6N/hRihbn65dHMdpgFCT2CSEBE8hoWwB......

Schon interessant, was das ganze dekodiert bedeutet. So baut das Skript Verbindungen auf zu:

http://exploit-db.com/
https://hashcracking.ru
http://md5.rednoize.com
http://crackfor.me/

Wie der Angreifer an das Admin Passwort gekommen ist – keine Ahnung. Vermute wohl eher das Hauptproblem ist die veraltete Modx Version (von 2007!!).

Modx bereinigen

Folgende Schritte sind zum Entfernen des Schadcodes bzw. seiner Auswirkungen auf Modx notwendig:

  • die Datei assets/cache/siteManager.idx.php austauschen mit dem Orginal
  • Die Plugins „Quick ManagerManager“ und „Forgot Manager Login“ löschen (werden sowieso nicht benötigt)
  • vom Angreifer angelegte Benutzer löschen
  • Passwörter der restlichen Benutzer ändern
  • Hoffen alle infizierten Daten gefunden zu haben

Auf Dauer hilft natürlich nur eine neuere Modx Version. Zum Glück wurde hier nur SEO-Spamming betrieben, aber so wie das Skript aussieht, ist es noch zu viel mehr in der Lage.