Willkommen Gast. Bitte Einloggen oder Registrieren
 
Sprache wählen:
 
 
Statistik Version 24 online.

  ÜbersichtHilfeSuchenEinloggenRegistrieren  
 
Seitenindex umschalten Seiten: 1
Thema versenden Drucken
Malwarescan meldet schadhafte Scripte (Gelesen: 1713 mal)
instantflorian1
YaBB Newbies
*
Offline



Beiträge: 1
Malwarescan meldet schadhafte Scripte
06.05.21 um 06:42:45
 
Hallo,
wir haben PHP Web Stat mit den kommerziellen Erweiterungen auf einem Webspace bei Domainfactory installiert (Lizenzinhaber nicht identisch mit mir/meinem Forenaccount). Das Script lief einige Tage problemlos, am 04.05. wurde dann jedoch der gesamte Webspace gesperrt und wir wurden über "Schadhafte Skripte in Ihrem Auftrag" informiert.

Aus den Logfiles ist ersichtlich, dass der Malwarescanner auf verschlüsselten PHP-Code sowie iframe-Aufrufe angesprungen ist.

Auszug aus dem Logfile:

FUNDE: 4x
#######################################
/kXXXX/stat/func/func_refresh.php            
#######################################
Changed       ->   24.04.2021 11:04:32 +0200
Zeile       ->   SuchMuster                  ->       FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20)
38       ->   document.write('(.*)<if...      ->       document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_4
8.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"s
tyle=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidde
n\"\>\</iframe\>\</div\>'\)
41       ->   document.write('(.*)<if...      ->       document.write\('\<divclass=\"c-frame\"\>\".\$lang_refresh\[4\].\"\<br\>\<iframename=\"control\"src=\"\"style=\"width:200px\;height:22px\;margi
n-top:-2px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</d
iv\>'\)
decoded       ->   document.write('(.*)<if...      ->       document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_4
8.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"s
tyle=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidde
n\"\>\</iframe\>\</div\>'\)
decoded       ->   document.write('(.*)<if...      ->       document.write\('\<divclass=\"c-frame\"\>\<br\>\<iframename=\"control\"src=\"\"s
tyle=\"width:200px\;height:22px\;margin-top:-2px\;background:transparent\;border
:0\;overflow:hidden\"\>\</iframe\>\</div\>'\)


50% abgeschlossen.

60% abgeschlossen.




FUNDE: 20x
#######################################
/kXXXX/stat/plugins/hitcharts/index.php            
#######################################
Changed       ->   24.04.2021 11:18:22 +0200
Zeile       ->   SuchMuster                  ->       FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20)
6       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ${"GLOBALS"}[.*]=".*";$...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ${"GLOBALS"}[.*]=".*";$...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ${"GLOBALS"}[.*]=".*";$...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
6       ->   ${"GLOBALS"}[.*]=".*";$...      ->       \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value"
Decoded       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date
Decoded       ->   ";$.*($.*($.*($.*($.*))...      ->       \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date
Decoded       ->   ";$.*($.*($.*($.*($.*))...      ->      


Frage: Lässt sich anhand des Logfile-Auszugs erkennen, ob der Code tatsächlich manipuliert wurde, oder ob es sich um ein False Positive handelt?

Das komplette Logfile kann gern zur Verfügung gestellt werden (bitte dafür Kontaktmöglichkeit mitteilen).

Vielen Dank im voraus.
Zum Seitenanfang
 
 
IP gespeichert
 
Holger
Administrator
*****
Offline



Beiträge: 2305
Germany NRW
Geschlecht: male
Re: Malwarescan meldet schadhafte Scripte
Antwort #1 - 08.05.21 um 08:55:09
 
Hallo,

der Grund warum der MalwareScanner von DomainFactory anschlägt ist, das wir in unseren Plugins eine Dateiverschlüsselung einsetzen. Diese Verschlüsselung scheint bei DomainFactory in der Tat zu einem False Positiv zu führen.
Gleiches gilt für das Refresh von iframes die wir zur Datenaktualisierung nutzen.

Ich empfehle hier die Ordner stat vom Scanner auszuschließen (von der Sperre zu befreien).

Holger
Zum Seitenanfang
 

... ... ...
Homepage  
IP gespeichert
 
Seitenindex umschalten Seiten: 1
Thema versenden Drucken