| PHP-Web-Stat Support Forum | |
|
https://www.php-web-statistik.de/cgi-bin/yabb/YaBB.pl
Board (Deutsch) >> Probleme & Fragen >> Malwarescan meldet schadhafte Scripte https://www.php-web-statistik.de/cgi-bin/yabb/YaBB.pl?num=1620276165 Beitrag begonnen von instantflorian1 am 06.05.21 um 06:42:45 |
|
|
Titel: Malwarescan meldet schadhafte Scripte Beitrag von instantflorian1 am 06.05.21 um 06:42:45
Hallo,
wir haben PHP Web Stat mit den kommerziellen Erweiterungen auf einem Webspace bei Domainfactory installiert (Lizenzinhaber nicht identisch mit mir/meinem Forenaccount). Das Script lief einige Tage problemlos, am 04.05. wurde dann jedoch der gesamte Webspace gesperrt und wir wurden über "Schadhafte Skripte in Ihrem Auftrag" informiert. Aus den Logfiles ist ersichtlich, dass der Malwarescanner auf verschlüsselten PHP-Code sowie iframe-Aufrufe angesprungen ist. Auszug aus dem Logfile: FUNDE: 4x ####################################### /kXXXX/stat/func/func_refresh.php ####################################### Changed -> 24.04.2021 11:04:32 +0200 Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20) 38 -> document.write('(.*)<if... -> document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_48.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"style=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</div\>'\) 41 -> document.write('(.*)<if... -> document.write\('\<divclass=\"c-frame\"\>\".\$lang_refresh\[4\].\"\<br\>\<iframename=\"control\"src=\"\"style=\"width:200px\;height:22px\;margin-top:-2px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</div\>'\) decoded -> document.write('(.*)<if... -> document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_48.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"style=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</div\>'\) decoded -> document.write('(.*)<if... -> document.write\('\<divclass=\"c-frame\"\>\<br\>\<iframename=\"control\"src=\"\"style=\"width:200px\;height:22px\;margin-top:-2px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</div\>'\) 50% abgeschlossen. 60% abgeschlossen. FUNDE: 20x ####################################### /kXXXX/stat/plugins/hitcharts/index.php ####################################### Changed -> 24.04.2021 11:18:22 +0200 Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20) 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" Decoded -> ";$.*($.*($.*($.*($.*))... -> \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date Decoded -> ";$.*($.*($.*($.*($.*))... -> \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date Decoded -> ";$.*($.*($.*($.*($.*))... -> Frage: Lässt sich anhand des Logfile-Auszugs erkennen, ob der Code tatsächlich manipuliert wurde, oder ob es sich um ein False Positive handelt? Das komplette Logfile kann gern zur Verfügung gestellt werden (bitte dafür Kontaktmöglichkeit mitteilen). Vielen Dank im voraus. |
|
Titel: Re: Malwarescan meldet schadhafte Scripte Beitrag von Holger am 08.05.21 um 08:55:09
Hallo,
der Grund warum der MalwareScanner von DomainFactory anschlägt ist, das wir in unseren Plugins eine Dateiverschlüsselung einsetzen. Diese Verschlüsselung scheint bei DomainFactory in der Tat zu einem False Positiv zu führen. Gleiches gilt für das Refresh von iframes die wir zur Datenaktualisierung nutzen. Ich empfehle hier die Ordner stat vom Scanner auszuschließen (von der Sperre zu befreien). * |
|
PHP-Web-Stat Support Forum » Powered by YaBB 2.5.2! YaBB Forum Software © 2000-2012. Alle Rechte vorbehalten. |