Thema: Plötzlich seltsamer Code in index.php

Hallo Leute

Habe heute in der index.php diesen seltsamen Code gefunden.
Rausgelöscht und die Seite läuft wieder. Habe auch gegoogelt und versucht es zu encoden, schaffs aber nicht.
Meine Frage, wie kommt das da hin, ein Hacker würde wohl richtig schaden anrichten?
Kann das jemand entziffern?

Danke für Ratschläge

Egal was der Code bedeutet, du bist gehackt worden! (Falls du selber nicht irgendeneinen Corehack in die index.php eingebaut hast)
Ich zitiere deshalb mal aus einem andern Thread:

Vorgehen bei Joomla gehackt - Flottes Gebetbuch

1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!

Hier ausführlich
https://www.fc-hosting.de/joomla/tip...la-gehackt.php - Flottes Gebetbuch

Das ist Base64-kodiert. Schau einfach mal bei Google nach einem Dekodierer, dann weißt du, was der Code bedeutet.

Beachte Arnis Beitrag!

Gruß

Danke schon mal euch beiden, das mit alles entfernen und letzte saubere Sicherung einspielen ist nicht so einfach, weil gerade sehr viel geändert wurde und noch nicht neu gesichert (jaja, nicht schimpfen)

Habe versucht das mit diesen Base_64 onlinedecodern zu entschlüsseln, da kommt aber auch nur wirres zeug dabei raus, zugegebenermaßen versteh ich davon aber auch nichts.

wenn man das ganze entschlüsseln könnte hätte man unter Umständen wenigstens eine idee was das soll und wie schlimm oder harmlos das ist.

Zitat von DaWahn

... wenn man das ganze entschlüsseln könnte hätte man unter Umständen wenigstens eine idee was das soll und wie schlimm oder harmlos das ist.

Alles Nebensache! Einzig Flottes Liste kann hier helfen, und so bitter es ist, die Änderungen seit dem letzten sauberen Backup musst du eben noch mal machen.

In der index.php ist mehrfach (3-5) base64 verschlüsselter Code enthalten - man muss nur mehrfach den base64 Code decodieren, dann klappt es auch. Nur benötigt man etwas Zeit.

In welcher index.php befindet er sich denn? In der des Templates oder in der Haupt-index.php?
Und jetzt bist du an der Reihe: Du musst rausfinden, wie er den Code einschleusen konnte.
Dazu musst du die Accesslogs analysieren und genau schauen, wann es passiert sein könnte.
Wenn du das nicht kannst, kann ich es notfalls auch machen, wenn du weißt, an welchem Tag es passiert ist.

EIne weitere Möglichkeit: Deine Passwörter wurden per Schadsoftware an deinem PC ausgespäht und dadurch hat der Hacker deine FTP-Daten bekommen. So konnte er dann die Daten hochladen.
Aber das wäre eher ungewöhnlich, dass er dann nur die paar Zeilen hinzufügt.

Nach meiner Analyse ist der Code insgesamt in vier Schritten codiert:
drei mal einfacher base64-Code und dann noch etwas umfangreicherer PHP-Code, der auch wieder, sobald er ausgeführt, eine base64-Codierung ergibt.
Diese lässt sich dann in Reintext entschlüsseln.

Was ich dem Code entnehmen konnte ist, dass dieser, sobald er aufgerufen wird, eine Rückmeldung an eine bestimmte Adresse sendet.

Damit der Code auch schön unauffällig ausgeführt wird, wird in PHP

PHP-Code:

error_reporting(0); 


gesetzt.

Das hier ist der entschlüsselte Code:

Hallo Dennis

Der Code war in der Haupt Index.php
Wo finde ich die Accesslogs? Server, Joomla?*
Ich denke es ist heute passiert, weil wenn die seite länger nicht funktioniert hätte, dann hätte ich das wohl erfahren.

*Danke für dein Angebot mir da zu helfen, nehme ich gerne an

Danke Jungs daß Ihr Euch den Code anschaut.

Da macht sich jemand die Mühe so aufwändig verschlüsselten code einzuschmuggeln, aber scheinbar ist dem da etwas schief gelaufen weil ich gehe mal davon aus daß das ganze, wie dennis schreibt, "unauffällig" ablaufen hätte sollen, aber die seite war ja nicht mehr erreichbar. (unexpected ">" in line 89)