• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

seltsame Zeile Script in Webseite analysieren

M

MartyS

New member
hallo,

bin leider nicht der profi mit script.....
habe eine website via 1&1 baukasten gemacht - und eine einfach index.html als umleitung.

in eben dieser index.html seite wurde nun von 1&1 ein trojaner identifiziert....

quelltext enthält meine normale umleitung - und eine zeile code.....:

<? error_reporting(0); $mhfp = fopen("host.txt", "w"); if ($mhfp) { fwrite($mhfp, $_SERVER["HTTP_HOST"]); fclose($mhfp); } ?>

wenn man nach der zeile googelt kommen viele viele seiten die diese zeile auch haben..... :D

ich habe sie jedenfalls nicht einprogrammiert - und ich weiss nicht ob das mein webgenerator alleine machte...?!

soweit ich das überblicke:

* error reporting 0 = stiller modus, keine fehler-meldungen
* fopen = er will die datei host.txt öffnen (die war vorhanden, aber leer)
was heisst das w...?
* write = er will wohl automatisch auf aus der host.txt gelesene server umleiten
was macht das http_host..?
* schliesst wieder

habe ich das soweit richtig interpretiert...?

ist das eine bekannte trojaner masche - oder wie kommt das alles....?!

bin für jeden tip und hilfe sehr dankbar,
gruss
martin
 
oukay.. - PHP statt JS... schon was gelernt..! :D

danke für hinweis, werd das ganze gleichmal ins php-forum umziehen....

DANKE!

gruss
martin
 
seltsame Zeile PHP in Webseite - Trojaner..?

hallo,

bin leider nicht der profi mit scripten.....
folgende situation, habe eine website via 1&1 baukasten gemacht - und eine einfach index.html als umleitung.

in eben dieser index.html seite wurde nun von 1&1 ein trojaner identifiziert....

quelltext enthält meine normale umleitung - und eine zeile code.....:

<? error_reporting(0); $mhfp = fopen("host.txt", "w"); if ($mhfp) { fwrite($mhfp, $_SERVER["HTTP_HOST"]); fclose($mhfp); } ?>

wenn man nach der zeile googelt kommen viele viele seiten die diese zeile auch haben.....

ich habe sie jedenfalls nicht einprogrammiert - und ich weiss nicht ob das mein webgenerator alleine machte...?!

soweit ich das überblicke und orakel....:

* error reporting 0 = stiller modus, keine fehler-meldungen
* fopen = er will die datei host.txt öffnen (die war vorhanden, aber leer)
was heisst das w... (writen?)...?
* write = er will wohl automatisch auf aus der host.txt gelesene server umleiten
was macht das http_host..?
oder will er meine serveradresse in die host.txt reinschreiben..?!
* schliesst wieder

kommt das hin...?

dann wäre noch die frage - ist das eine bekannte trojaner masche - oder wie kommt das
skript zustande....?!


bin für jeden tip und hilfe sehr dankbar,
gruss
martin
 
AW: seltsame Zeile PHP in Webseite - Trojaner..?

Hast du schon einmal den 1&1 Kundendienst gefragt woher diese Zeile kommt (kommen kann)?
 
AW: seltsame Zeile PHP in Webseite - Trojaner..?

ja - die wissen es leider auch nicht....

die haben die datei index.html bei routine untersuchung identifiziert - upload war wohl schon
juli 2009 (unter verwendung des ftp passworts)....

sie schätzen ein lokaler trojaner oder virus...?!
was ich aber nahezu ausschliessen möchte, da ich aktuelle antivirus und threatfire am
laufen hab, und keine dubiosen sachen mach...

es gab bis dato auch noch keine beschwerden, probleme oder alarme..?!

mich würde jetzt halt interessieren, was die zeile code eigentlich macht..?

schreibt die was in die host.txt - oder (sinnvoller als angriff) würde sie daten aus der
host.txt auslesen und die leute dorthin umbiegen..?!

die host.txt war auch vorhanden, aber leer.....

leider reichen meine script fähigkeiten nicht soweit - deshalb hier die frage an
die pro´s....! :D
 
AW: seltsame Zeile PHP in Webseite - Trojaner..?

Das Script alleine ist an sich keine Bedrohung, weil lediglich der Hostname in eine Datei geschrieben wird. Damit ist normalerweise kein Schaden möglich, allerdings ist es auch nicht sinnvoll - ausser wenn das nur ein Test war/ist im Vorgriff auf spätere mögliche Angriffe, ob überhaupt mittels PHP in das Verzeichnis (auf dem Webserver) geschrieben werden kann. Woher die Zeile aber kommt, wenn du sie nicht selbst eingefügt hast? Entweder 1&1 hat diese eingefügt, oder es besteht bereits anderweitig Zugriff auf dein Verzeichnis (ftp?, webdav?) Da würde ich auf jeden Fall mal schauen, wer alles Zugriff drauf hat und ggf. die Passwörter ändern / User löschen - aber zuerst checken, ob eventuell (bei Passwortänderung) das neue per Email verschickt wird (aufpassen, das es deine Email-Adresse ist ;-)

HTH, Frank
 
AW: seltsame Zeile PHP in Webseite - Trojaner..?

hi,

danke für antwort - passwörter sind alle geändert. denke 1&1 hat da nix gemacht, ich selber auch nicht... seit dem upload juli 2009 ist
auch keinerlei weitere aktivität mehr gewesen.... aber wie die zeile da reinkam - ein rätsel....?!?!

also wenn ich dich verstanden hab, schreibt der code den hostnamen in die datei host.txt - die leer war, also hat es wohl
mit PHP auf dem "billig" webpaket (ohne php etc) eh nicht geklappt...?

gruss
martin

ps: was witzig ist, googelt mal nach der code-zeile - die taucht in dutzenden von websites auf.....! :D
bin vermutlich nicht der einzige der das teil abbekommen hat.....?!?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben