instantflorian1
YaBB Newbies
Offline
Beiträge: 1
|
Hallo, wir haben PHP Web Stat mit den kommerziellen Erweiterungen auf einem Webspace bei Domainfactory installiert (Lizenzinhaber nicht identisch mit mir/meinem Forenaccount). Das Script lief einige Tage problemlos, am 04.05. wurde dann jedoch der gesamte Webspace gesperrt und wir wurden über "Schadhafte Skripte in Ihrem Auftrag" informiert.
Aus den Logfiles ist ersichtlich, dass der Malwarescanner auf verschlüsselten PHP-Code sowie iframe-Aufrufe angesprungen ist.
Auszug aus dem Logfile:
FUNDE: 4x ####################################### /kXXXX/stat/func/func_refresh.php ####################################### Changed -> 24.04.2021 11:04:32 +0200 Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20) 38 -> document.write('(.*)<if... -> document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_4 8.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"s tyle=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidde n\"\>\</iframe\>\</div\>'\) 41 -> document.write('(.*)<if... -> document.write\('\<divclass=\"c-frame\"\>\".\$lang_refresh\[4\].\"\<br\>\<iframename=\"control\"src=\"\"style=\"width:200px\;height:22px\;margi n-top:-2px\;background:transparent\;border:0\;overflow:hidden\"\>\</iframe\>\</d iv\>'\) decoded -> document.write('(.*)<if... -> document.write\('\<divclass=\"indicator\"\>\<imgsrc=\"images/loading_indicator_4 8.gif\"title=\"loading\"alt=\"loading\"\>\<br\>\<iframename=\"creator\"src=\"\"s tyle=\"width:10px\;height:10px\;background:transparent\;border:0\;overflow:hidde n\"\>\</iframe\>\</div\>'\) decoded -> document.write('(.*)<if... -> document.write\('\<divclass=\"c-frame\"\>\<br\>\<iframename=\"control\"src=\"\"s tyle=\"width:200px\;height:22px\;margin-top:-2px\;background:transparent\;border :0\;overflow:hidden\"\>\</iframe\>\</div\>'\)
50% abgeschlossen.
60% abgeschlossen.
FUNDE: 20x ####################################### /kXXXX/stat/plugins/hitcharts/index.php ####################################### Changed -> 24.04.2021 11:18:22 +0200 Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20) 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ";$.*($.*($.*($.*($.*))... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" 6 -> ${"GLOBALS"}[.*]=".*";$... -> \$\{"GLOBALS"\}\["hioggvnrhm"\]="key"\;\$\{"GLOBALS"\}\["szmzlgzfhhx"\]="lang_plugin"\;\$\{"GLOBALS"\}\["cpzvfzpm"\]="visitor_day"\;\$\{"GLOBALS"\}\["nhkibwyz"\]="visitors"\;\$\{"GLOBALS"\}\["bnivlyaftpsn"\]="lang_plugin"\;\$\{"GLOBALS"\}\["msycgipi"\]="logfile_entry"\;\$\{"GLOBALS"\}\["diutmxrl"\]="logfile"\;\$\{"GLOBALS"\}\["hotqibj"\]="value" Decoded -> ";$.*($.*($.*($.*($.*))... -> \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date Decoded -> ";$.*($.*($.*($.*($.*))... -> \$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\)\{\$plvnuxbpth="date_day"\;\$\{"GLOBALS"\}\["nekqsjh"\]="logfile_entry"\;\$\{"GLOBALS"\}\["ewexplbccvv"\]="hits_per_day_B"\;\$\{\$\{"GLOBALS"\}\["brpjxpmcut"\]\}=date\("y-m-d",\$\{\$\{"GLOBALS"\}\["msycgipi"\]\}\[0\]\)\;if\(array_key_exists\(\$\{\$plvnuxbpth\},\$\{\$\{"GLOBALS"\}\["ewexplbccvv"\]\}\)\)\{\$suglmefgy=\"date Decoded -> ";$.*($.*($.*($.*($.*))... ->
Frage: Lässt sich anhand des Logfile-Auszugs erkennen, ob der Code tatsächlich manipuliert wurde, oder ob es sich um ein False Positive handelt?
Das komplette Logfile kann gern zur Verfügung gestellt werden (bitte dafür Kontaktmöglichkeit mitteilen).
Vielen Dank im voraus.
|