Wenn der Schadcode mehrfach klingelt ...
Vorspiel:
bei der Modifikation einer Website fiel mir das ewig lange Warten auf. Meine Fritzbox zeigte aber, dass voller Datenschub anlag - keine Störungen, mein Virenscanner ist aktiv und verhält sich ruhig, ein "ping" an die entsprechende Website zeigte keine überhöhten Werte - 42ms.
Darauf hin habe ich beim Provider nachgeschaut, ob ein Server lahmt oder eine Wartung/ Nichterreichbarkeit vorliegt .... alles im grünen Bereich.
Ursache:
Als mich dann der Techniker zurückrief, bestätigte er mir, was ich schon am Bildschirm sah:
Es werden Daten von/an anderen Websites (Frankreich, Deutschland, USA, Canada, Italien ...) übertragen, die nicht zum System gehören.
Google hat bereits einige Websiteinhaber abgemahnt oder/ und die Seiten wegen Malware gesperrt.
Dieser Code liegt fast(?) immer an der gleichen Stelle.Somit habe ich angefangen, alle betroffenen Seiten davon zu befreien.
JavaScript Schadcode
z.Bsp.: mds.js
Klick
Die Stellen liegen in der Regel am Ende eines Files und sehen dann wie folgt aus:
PHP-Schadecode
Klick
Auch das kann bei einem Einbruch in ein Rechenzentrum durch einen Wurm etc. durchgeführt werden. So sieht der PHP-Schadcode aus.
Hinweis für die Nutzung:
Benutzt für die spezifischen Stellen (JS/PHP)
für JS: /\*[\da-f]+\*/.*/\*/[\da-f]+\*/ für PHP: <\?php.*#[\da-f]+#.*#/[\da-f]+#.*\?>
Lade die noch betroffenenden Scripte/ Verzeichnisse, die nicht das aktuelle Updatedatum tragen (*.js/ *.php) local auf Deinen PC in eine separates Verzeichnis und jage einfach das Tool drüber! Schau Dir die Logdatei an. Meistens sind es "nur" 6-10 Scripte aus älteren Versionen.
Von Hand die entsprechenden Stellen im Websystem auf dem Server ändern ... fertig!
Neuer Angriff 14.05.2014, 21:45ff
Dieses Mal ist die index.php und login.php betroffen. Es gilt entweder die Handbereinigung oder halt wie oben beschrieben. (Vgl. Forum)
GrepCodev2.rar
Schadcode finden und Log erstellen (V0.2)
rar, 448.3K, 01/20/14, 123 downloads