Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Hallo Alexander,


    Das Script beachtet aber nicht die gängige Methode mit strrev()



    das Script soll mir ersteinmal zeigen, wo der Mißt drinne ist. Ich habe den Code mittlerweile in 25 Webseiten auf dem Server aufgespürt. Zur Zeit vergleiche ich gemeinsame Dateien um den Ursprung zu finden. Das das Kind nun in den Brunnen gefallen ist, kann ich leider nicht mehr ändern. Mich interessiert aber auch viel mehr, wie das Ding auf den Server gelangt ist damit ich dies zukünftig verhindern kann.


    Vieleicht kannst Du das Script ja entsprechend ergänzen bzw. ändern!?


    Gruß


    Arno

  • Hey Leute,


    ich glaube ich habe ein ähnliches Problem !
    Wenn ic hdie Domain aufrufen will, bekomme ich keine Fehlermeldung sondern nur einen weissen Bildschirm !
    Wenn ich mir auf der Oberfläche die error logs ansehen
    gibt es angeblich einen FEhler in der Datei: StringUtil.Class Linie 17


    soweit bin ich gekommen, und wie löse ich das Problem jetzt ?


    Datei anbei als txt

  • Doch, das ist gut zu finden. Die ganze Datei ist verseucht, lad dir mal das Forum neu runter und such dort in den Dateien nach dem Original.

  • Ungern, wie gesagt, die ist komplett infiziert...


    Ich weiß allerdings nicht ob die überhaupt ausgeführt werden kann, da ist Javascript mitten im PHP-Code.


  • Nimm mal die php Daetei con Seite 1 und lege Sie in das Haupverzeichniss. Rufe diese dann unter www.Eine Domain.de/analyse.php auf.



    Sage mal ober hinter den Zeilen ein eval(base64 decode.... gefunden wird.


    Weiterhin Suche nach einer Datei namens Thumb.db auf dem Server. Überprüfe, ob auch dort der Code drinne steht!?


    Ich habe soeben einen kompletten Systemscan aller unserer PCs und Inline-Server durchgeführt um auszuschließen, dass es sich um ein verseuchtes internes System handelt. Bisher ist alles sauber (sollte ich was finden, gebe ich Bescheid.) Zur Zeit wertet der Provider weiter fleißig alle Logs aus um zusehen wo der Angreifer rein kam.


    Sicher ist, dass es sich hierbei um eine Mailware handelt, welche die Googleergebnisse via 302 auf fremde Seiten weiterleitet. Wie er auf den Server gelangt ist, ist mir bisher noch nicht bekannt. Der Virus selbst, schreibt in sämtliche php Dateien einen Code.


    Überprüfen, ob euere Seite betroffen ist könnt Ihr zum einen mit der php Datei und ob bereits eine Weiterleitung besteht, könnt Ihr unter http://www.unmaskparasites.com/?blog feststellen.


    Gruß


    Arno

  • Ich bekomme ja keinen Fehler nur eine weisse Seite !
    Versuch es
    www.derzusammenhalt.com


    Zu eins: This page seems to be <suspicious> 4 suspicious inline scripts found.



    Das Script hast Du schon angehangen. Ersteze das Script mit dem Original


    Zu zwei: Der überprüfte Code Deiner Seite ist recht kurz?????? Öffne mal via ftp den Ordner (nur mit aktueller Firewall und Scanner) suche Dir die eine php und öffne diese mit dem Editor. Schaue ob es eine eval base64 Code Zeile enthält.

  • Da ist kein eval base64 drin, das ist Javascript, wie gesagt. Er hat die Datei doch angehangen.



    vieleicht habe ich mich ein wenig falsch ausgedrückt. Der von Ihm erzeugte Analysecode ist zu kurz..... er beinhaltet nicht alle Dateien. Entweder liegt das Analyse.php im falschen Ordner oder aber ??????


    Er soll nicht die Datei nachsehen sondern z.b. die index.php


    Liege ich richtig damit, dass die von sonicat hochgeladene Datei im Ordner wcf/lib/util .... zu finden ist?


    Gruß


    Arno

  • Hallo zusammen,


    ich habe mir jetzt einmal die Dateien von Sonicat angesehen und festgestellt, dass in fast allen .php der gleiche Scriptcode auftaucht.


    Hierbei handelt es sich zwar nicht um das eval (base64 decode sondern wie schon erwähnt um ein eingebettetes Script in den phps jedoch ist die Vorgehensweise identisch.


    Kann mir jemand bestätigen, dass der Scriptcode welcher in der von Sonicat hochgeladenen Datei auftaucht definitiv nicht dahingehört.


    Gruß


    Arno

  • Nachtrag: Kann es sein, dass durch das Einbinden eines neuen Layout eine Lücke ensteht?


    Ich habe gerade gesehen, dass Sonicat und ich das gleiche Layout verwenden. Das soll jetzt keine Mutmaßung sein. Ich möchte es nur ausschließen.


    Gruß



    Arno

  • ACHTUNG


    [color=#000000][size=10]Was auch immer es ist, es hat jetzt undere Firmendomains infiziert, unsere Server kämpfen gerade wie wild !
    Alle tragen nun die selben Fehler und sind nicht mehr aufrufbar, jedesmal wird von einer anderen Domain geroutet ncvw.... .cc.cv irgendwas !
    Scheint wiedermal was bösartiges unterwegs zu sein



    [/size][/color]

  • erstmal identifizieren, was auch immer es ist es ist sehr böse
    und verdammt gut



    die meisten Deiner Dateien wurden ma 28. gegen 11 Uhr geändert. Ich schätze mal das es gerade im Gange ist. Sage dem Hoster / Provider er soll die Logs verfolgen und die IP des Angreifers sperren.


    Gruß


    Arno