RJ45.jpg

Wenn der Schadcode mehrfach klingelt ...

Vorspiel:
bei der Modifikation einer Website fiel mir das ewig lange Warten auf. Meine Fritzbox  zeigte aber, dass voller Datenschub anlag - keine Störungen, mein Virenscanner ist aktiv und verhält sich ruhig, ein "ping" an die entsprechende Website zeigte keine überhöhten Werte - 42ms.

Bombe.png
coffeepc.gif

Darauf hin habe ich beim Provider nachgeschaut, ob ein Server lahmt oder eine Wartung/ Nichterreichbarkeit vorliegt .... alles im grünen Bereich.
 

Ursache:
Als mich dann der Techniker zurückrief, bestätigte er mir, was ich schon am Bildschirm sah:



Es werden Daten von/an anderen Websites (Frankreich, Deutschland, USA, Canada, Italien ...) übertragen, die nicht zum System gehören.

Google hat bereits einige Websiteinhaber abgemahnt oder/ und die Seiten wegen Malware gesperrt.
Dieser Code liegt fast(?) immer an der gleichen Stelle.Somit habe ich angefangen,  alle betroffenen Seiten davon zu befreien.

Man bügelt einfach die neuste Version (GitHub) drüber und schon müsste alles o.k. sein - dachte ich!
 
Dem war aber nicht so, denn so maches Update hatte alte Scripte hinterlassen, die noch in Nutzung waren und bei einem Upgrade unberührt blieben. Also war Handarbeit bei der Suche gefragt, wo nur mit einer guten Idee ich weiter kam.

JavaScript Schadcode

z.Bsp.: mds.js

Schadcode2014-01-18_1748.jpg

Klick

Die Stellen liegen in der Regel am Ende eines Files und sehen dann wie folgt aus:

PHP-Schadecode

Schadcode2014-01-18_1750.jpg

Klick

Auch das kann bei einem Einbruch in ein Rechenzentrum durch einen Wurm etc. durchgeführt werden. So sieht der PHP-Schadcode aus.

Hinweis für die Nutzung:

Benutzt für die spezifischen Stellen (JS/PHP)

für JS:

/\*[\da-f]+\*/.*/\*/[\da-f]+\*/

für PHP:

<\?php.*#[\da-f]+#.*#/[\da-f]+#.*\?>

Lade die noch betroffenenden Scripte/ Verzeichnisse, die nicht das aktuelle Updatedatum tragen  (*.js/ *.php) local auf Deinen PC in eine separates Verzeichnis und jage einfach das Tool drüber! Schau Dir die Logdatei an. Meistens sind es "nur" 6-10 Scripte aus älteren Versionen.

Von Hand die entsprechenden Stellen im Websystem auf dem Server ändern ... fertig!

 

Neuer Angriff 14.05.2014, 21:45ff

Dieses Mal ist die index.php und login.php betroffen. Es gilt entweder die Handbereinigung oder halt wie oben beschrieben. (Vgl. Forum)

GrepCodev2.rar

Schadcode finden und Log erstellen (V0.2)
rar, 448.3K, 01/20/14, 127 downloads

| zurück/back | Impressum | Sitemap | Kontakt | Datenschutz | © 2008 · Spielwiese · powered by PHPcms