ubuntuusers.de

Schädliches php-Script

Status: Ungelöst | Ubuntu-Version: Ubuntu 14.04 (Trusty Tahr)
Antworten |

HaraldRau

Anmeldungsdatum:
11. Dezember 2007

Beiträge: 202

Wohnort: Templin

Hallo, ich hoffe, dass ich hier nicht ganz falsch bin. Sicher wäre ein Joomla-Forum besser, aber ich habe in diesem Forum eigentlich immer die besseren Antworten bekommen.

Zur Frage: Ich habe bei einer Joomlainstallation durch vergleichen vier manipulierte Dateien gefunden. Ich werde diese durch die unberührten ersetzen. Es interessiert mich aber, was dieser Schadcode überhaupt anrichtet. Kann mir das jemand relativ einfach erklären? Ich füge mal die ersten Zeichen dieser Sachsequenz ein, das müsste ja ungefährlich sein!

<?php $wmdtdo = 'x24-	x24!>!fyqmpef)#	x24*x27pd%6<pd%w6Z6<.3`hA	x27pd%6<pd%w6Z6<.2`hA und so weiter...

Die ganze Zeile besteht aus 7727 Zeichen, für mich unerklärlich.

Sollte ich etwas nicht übliches mit der Frage getan haben, bitte ich um Entschuldigung, ein Hinweis und ich lösche die Anfrage!

Ansonsten vielen Dank für die Hilfe!

Gruß Harald!

Bearbeitet von pepre:

Code auf raw gesetzt wegen Lesbarkeit

verdooft

Anmeldungsdatum:
15. September 2012

Beiträge: 4427

In dem Ausschnitt wird einer Variable was zugewiesen. Schätze das eigentliche kommt erst später.

HaraldRau

(Themenstarter)

Anmeldungsdatum:
11. Dezember 2007

Beiträge: 202

Wohnort: Templin

Ja, die Variable wird in diesem php-Snipsel noch mal aufgerufen. Wie gesagt, der ganze Snipsel befindet sich in nur einer Zeile und besteht aus 7727 Zeichen. Die Werte scheinen ja auch im Hexaformat zu stehen (x24).

Gruß Harald!

TheDarkRose

Avatar von TheDarkRose

Anmeldungsdatum:
28. Juli 2010

Beiträge: 3459

Tjo, Schadcode halt.

Alle Passwörter aller User und betroffenen Systeme ändern!

Wie es raufkommt? Es ist Joomla, was erwartet man? Wohlmöglich schlecht upgedatet und mit vielen Plugins zugepflastert...

sebix Team-Icon

Ehemalige

Anmeldungsdatum:
14. April 2009

Beiträge: 5582

HaraldRau schrieb:

Ich habe bei einer Joomlainstallation durch vergleichen vier manipulierte Dateien gefunden. Ich werde diese durch die unberührten ersetzen.

Du musst schon davon ausgehen, dass der Angreifer auf alles Zugriff hat(te), was man mit den selben Rechten noch so erreichen kann. Also je nach Absicherung/Abkapselung musst du entsprechend viele Software neu einrichten. Also im Sinne von komplett entfernen und eine saubere Version einspielen.

Es interessiert mich aber, was dieser Schadcode überhaupt anrichtet. Kann mir das jemand relativ einfach erklären? Ich füge mal die ersten Zeichen dieser Sachsequenz ein, das müsste ja ungefährlich sein!

Mach einen Hash der gesamten Datei, damit wird idR Malware recht gut "identifiziert".

HaraldRau

(Themenstarter)

Anmeldungsdatum:
11. Dezember 2007

Beiträge: 202

Wohnort: Templin

Hallo,

danke für die Antworten, ich werde dann doch die komplette Installation löschen und nur die Tabelle Content aus der alten Datenbank übernehmen. Die werde ich mir dann vorher noch mal Datensatz für Datensatz ansehen.

Gruß Harald!

Antworten |