Thema: kennt jemand dieses script und was macht es?

Hallo,
habe heute in vielen Dateien folgendes Script gefunden:

<Code>

Weiss jemand, was das soll?

moin,

dieser code-schnipsel ähnelt einem anderen, der hier als schad-code bestätigt wurde.
leider sind meine kenntnisse auf diesem gebiet immer noch zu bescheiden, als dass ich dir mit sicherheit zu umgehender intervenierung raten könnte.

Sieht nicht gut aus und unbedingt Link von dschimmäh folgen. Und bitte keinen Schadcode hier veröffentlichhen. Danke

"yy4regn.at/et/dlxtbsbna.php" kennt das einer von Euch!?
Hab die Installation durchsucht, nix gefunden.
Hab die Dateien durchsucht, nix gefunden.
Hab mein locales System nach der Datei durchsucht, nix gefunden.
Hab meine localen Dateien nach Inhalt "dlxtbsbna" und yy4regn" durchsucht, nix gefunden.
Aber irgendwo muss das ja herkommen!?
Ist nicht Browserabhängig, tritt im IE8, Firefox und Opera auf.
Der Link läuft ins Nirvana(404), verursacht aber eine zusätzliche Ladezeit von über 40 Sekunden für die Seite!

*URL entfernt*

Hoffe es hat jemand eine zündende Idee, mir gehen sie langsam aus!

Hallo.
Leider wurde Eure Webseite gehackt. Bitte gehe streng nach der von Flotte erstellten Liste vor und verhindere als erstes durch z. B. eine entsprechende .htaccess den Zugriff von außen, das Offline-schalten reicht nicht aus. Durch die Eingabe von "gehackt" in die Forensuche findest Du zahlreiche weitere Tipps.

Danke das habe ich befürchtet.
Aber ein Tip wo oder wie ich den Auslöser "GET dlxtbsbna.php" finde währe ein schöner Denkanstoß!
Mit Firebug bin ich da noch nicht viel weiter gekommen oder habe einfach nicht an der richtigen Stelle geschaut!
DOM liefert zwar eine Menge Informationen aber über die Herkunft des Teils konnte ich noch nix finden.

Bevor ich mit dem Restore beginne, hätte ich gern den Verursacher gefunden ;-)

Schau mal in die Logfiles

weitere Denkanstösse hier
http://www.joomlaportal.de/beta-howt...-anf-nger.html

Für alle die es interessiert.
Befallen waren alle index.htm, index.html und default.php der 1. Ordnerebene mit einem Link auf "80.91.191.158", eingebettet in ein iframe.
In den default.php war das iframe grundsätzlich am Ende der Datei.
In die Indexdateien wurde ein kompletter body-block inclusieve iframe eingebaut.
Woher das gekommen ist konnte ich auch mit der Auswertung der Sever-Log-Files nicht ermitteln, da sie nur für einen begrenzten Zeitraum zur Verfügung stehen. Schade, hätte gerne den Verursacher gefunden, aber Auswirkung bereinigen hilft ja auch schon ein wenig weiter.
Alle index.htm, index.html und default.php mit html-suchen und Ersetzen bereinigt und die Welt war wieder I.O.

Wer also feststellt das seine Seite plötzlich sehr langsam wird, sollte eine Untersuchung seines System nach ähnlichen Frendkörpern in seine Überlegungen mit einbeziehen.

Zitat von Trubadix

Alle index.htm, index.html und default.php mit html-suchen und Ersetzen bereinigt und die Welt war wieder I.O.

Nein, die Welt ist damit eben nicht wieder in Ordnung. Findest Du die Lücke nicht und stopfst diese nicht, dann kannst Du dabei zusehen, wie Deine Seite gleich wieder gehackt wird.

Diese Vorgehensweise ist völlig ungenügend. Alle zusätzlich vom Hacker hinterlassenen Backdoorscripte werden durch Deine Vorgehensweise nicht beseitigt (Eine zusätzlich hinterlassene backdoor-x-y-z.php wurde durch Dein Vorgehen eben nicht überschrieben). Der Hacker kann also weiterhin lustig in Deinem Namen Spam verschicken, über Deine Seite Malware verteilen usw.. Außerdem wurde die eigentliche Lücke nicht geschlossen. Deine Webseitenbesucher werden es Dir danken, das kann auch rechtliche Konsequenzen für Dich haben, wenn Du wider besserem Wissen so handelst. Wozu gibt man Dir eine genaue zu beachtende To-Do-Liste, wenn sie dann doch nicht beachtet wird. Du solltest da noch mal nacharbeiten? Und evt. ist Dein Rechner mit Viren und Trojanern befallen, oft lesen Trojaner die FTP-Zugangsdaten mit und geben diese an Hacker weiter.

EDIT: Hi Helrunar. Längerer Text braucht länger