-google-ads-
2012
09.15

Ein Kollege hat mir gerade mitgeteilt, das ein Angreifer auf gehackten Webseiten einen Angriff auf die Google-DNS-Server ausführt.
Ich hab dies untersucht. Das Skript ist dafür, das man damit großen Schaden anrichten kann, relativ „klein“.

Ein Angreifer führt aktuell über gehackte Webseiten einen DDoS-Angriff auf ns1.google.com aus.

Dieser lädt über eine alte PHP-Shell ein Skript nach, welches dann am Ende in einer While-Schleife per curl() über den Port 53 UDP auf ns1.google.com geht und A-Records abfrägt:

Der Aufruf der Datei erfolgt dann mit folgenden Parametern:

stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU

Der Inhalt von $_GET[page] ist in diesem Fall ns1.google.com und wird durch folgende Funktion „entschlüsselt“:

 

Function decodesttr($string)
{
$string = @str_rot13($string);
$start_str = @substr($string,2);
$end_str = @substr($string,0,2);
return @base64_decode($start_str.$end_str);
}


der Aufruf von: stph.php?action=start&time_s=1347726169&time_e=1347733169&page=N=ZwR2YwVmBF4mZv4kZSfwKGHmJlAqZGDjZSfwKGpjZQOoV111MU
# Ergibt daher folgendes:
216.239.32.10[#]53[#]1400[#]7000[#]udp

Damit wird die IP 216.239.32.10 auf dem Port 53 mit Packeten zu einer Länge von 1400 Bytes 7000 mal mit dem Protokoll UDP aufgerufen…

Die Malware-Skripte von uns finden diese Dateien zuverlässig und bisher konnten wir noch keine Probleme oder Beeinträchtigungen bei den Google–DNS-Server feststellen.

Wer die Shells und das DDoS-Skript zur Analyse haben möchte, kann über die contact-Funktion oder per Mail/Twitter diese bekommen.

[UPDATE 18.09.2012 T21:00]
Der Angreifer hat erneut über gehackte Webseiten mit seinem DDoS-Skript andere angegriffen, diesemal mit folgenden Daten:
171.159.100.172[#]80[#]2[#]1800
Dem Hostnamen nach, gehört die IP zu safe-prodca.bankofamerica.com.


[UPDATE 25.09.2012 T19:00]
Der Angreifer geht nun auf IP-Adressen von Wells Fargo
151.151.91.5[#]53[#]1[#]3600#


[UPDATE 16.10.2012 T21:35]
Der Angreifer geht nun auf IP-Adressen von Capitalone
208.80.48.53[#]443[#]1400[#]3750#

-google-ads-
  1. Update, aktuelle Welle von BroBot-Runner: http://blog.blocklist.de/2013/03/22/current-brobot-wave-runners-ips-hacked-sites/

Translate »