Das Script beachtet aber nicht die gängige Methode mit strrev()
Zum vierten mal .....Forum infiziert! (eval(base64_decode....)
- wittelektronik
- Thread is marked as Resolved.
-
-
Hallo Alexander,
Das Script beachtet aber nicht die gängige Methode mit strrev()
das Script soll mir ersteinmal zeigen, wo der Mißt drinne ist. Ich habe den Code mittlerweile in 25 Webseiten auf dem Server aufgespürt. Zur Zeit vergleiche ich gemeinsame Dateien um den Ursprung zu finden. Das das Kind nun in den Brunnen gefallen ist, kann ich leider nicht mehr ändern. Mich interessiert aber auch viel mehr, wie das Ding auf den Server gelangt ist damit ich dies zukünftig verhindern kann.
Vieleicht kannst Du das Script ja entsprechend ergänzen bzw. ändern!?
Gruß
Arno
-
Gern genutzte Einfalltore sind veraltete Versionen von phpmyadmin, joomla, wordpress usw., da diese weit verbreitet sind. Fatal ist es auch wenn auf dem Server allow_url_include aktiviert ist.
-
Hey Leute,
ich glaube ich habe ein ähnliches Problem !
Wenn ic hdie Domain aufrufen will, bekomme ich keine Fehlermeldung sondern nur einen weissen Bildschirm !
Wenn ich mir auf der Oberfläche die error logs ansehen
gibt es angeblich einen FEhler in der Datei: StringUtil.Class Linie 17soweit bin ich gekommen, und wie löse ich das Problem jetzt ?
Datei anbei als txt
-
Bitte den genauen Fehler hier posten, nicht die Datei, da der Fehler normal nicht in der Datei selbst zu finden ist
-
Doch, das ist gut zu finden. Die ganze Datei ist verseucht, lad dir mal das Forum neu runter und such dort in den Dateien nach dem Original.
-
Ich bekomme ja keinen Fehler nur eine weisse Seite !
Versuch es
www.derzusammenhalt.com -
Ungern, wie gesagt, die ist komplett infiziert...
Ich weiß allerdings nicht ob die überhaupt ausgeführt werden kann, da ist Javascript mitten im PHP-Code.
-
Display More
Hey Leute,
ich glaube ich habe ein ähnliches Problem !
Wenn ic hdie Domain aufrufen will, bekomme ich keine Fehlermeldung sondern nur einen weissen Bildschirm !
Wenn ich mir auf der Oberfläche die error logs ansehen
gibt es angeblich einen FEhler in der Datei: StringUtil.Class Linie 17soweit bin ich gekommen, und wie löse ich das Problem jetzt ?
Datei anbei als txt
Nimm mal die php Daetei con Seite 1 und lege Sie in das Haupverzeichniss. Rufe diese dann unter www.Eine Domain.de/analyse.php auf.
Sage mal ober hinter den Zeilen ein eval(base64 decode.... gefunden wird.
Weiterhin Suche nach einer Datei namens Thumb.db auf dem Server. Überprüfe, ob auch dort der Code drinne steht!?
Ich habe soeben einen kompletten Systemscan aller unserer PCs und Inline-Server durchgeführt um auszuschließen, dass es sich um ein verseuchtes internes System handelt. Bisher ist alles sauber (sollte ich was finden, gebe ich Bescheid.) Zur Zeit wertet der Provider weiter fleißig alle Logs aus um zusehen wo der Angreifer rein kam.
Sicher ist, dass es sich hierbei um eine Mailware handelt, welche die Googleergebnisse via 302 auf fremde Seiten weiterleitet. Wie er auf den Server gelangt ist, ist mir bisher noch nicht bekannt. Der Virus selbst, schreibt in sämtliche php Dateien einen Code.
Überprüfen, ob euere Seite betroffen ist könnt Ihr zum einen mit der php Datei und ob bereits eine Weiterleitung besteht, könnt Ihr unter http://www.unmaskparasites.com/?blog feststellen.
Gruß
Arno
-
Ich bekomme ja keinen Fehler nur eine weisse Seite !
Versuch es
www.derzusammenhalt.comZu eins: This page seems to be <suspicious> 4 suspicious inline scripts found.
Das Script hast Du schon angehangen. Ersteze das Script mit dem Original
Zu zwei: Der überprüfte Code Deiner Seite ist recht kurz?????? Öffne mal via ftp den Ordner (nur mit aktueller Firewall und Scanner) suche Dir die eine php und öffne diese mit dem Editor. Schaue ob es eine eval base64 Code Zeile enthält.
-
Da ist kein eval base64 drin, das ist Javascript, wie gesagt. Er hat die Datei doch angehangen.
-
Da ist kein eval base64 drin, das ist Javascript, wie gesagt. Er hat die Datei doch angehangen.
vieleicht habe ich mich ein wenig falsch ausgedrückt. Der von Ihm erzeugte Analysecode ist zu kurz..... er beinhaltet nicht alle Dateien. Entweder liegt das Analyse.php im falschen Ordner oder aber ??????
Er soll nicht die Datei nachsehen sondern z.b. die index.php
Liege ich richtig damit, dass die von sonicat hochgeladene Datei im Ordner wcf/lib/util .... zu finden ist?
Gruß
Arno
-
Liege ich richtig damit, dass die von sonicat hochgeladene Datei im Ordner wcf/lib/util .... zu finden ist?
korrekt ! -
Ja, sagte ich ja schon. Der Code hat fast die komplette Originaldatei ersetzt.
-
ACHTUNG
Was auch immer es ist, es hat jetzt undere Firmendomains infiziert, unsere Server kämpfen gerade wie wild !
Alle tragen nun die selben Fehler und sind nicht mehr aufrufbar, jedesmal wird von einer anderen Domain geroutet ncvw.... .cc.cv irgendwas !
Scheint wiedermal was bösartiges unterwegs zu sein
-
erstmal identifizieren, was auch immer es ist es ist sehr böse
und verdammt gut -
erstmal identifizieren, was auch immer es ist es ist sehr böse
und verdammt gutdie meisten Deiner Dateien wurden ma 28. gegen 11 Uhr geändert. Ich schätze mal das es gerade im Gange ist. Sage dem Hoster / Provider er soll die Logs verfolgen und die IP des Angreifers sperren.
Gruß
Arno
Participate now!
Don’t have an account yet? Register yourself now and be a part of our community!