Was bedeutet PHP-Injection eigentlich?

Bei der php-Injection handelt es sich meist um Angriffe auf Webseiten. Ziel der Angriffe ist es, den Quellcode einer Webseite so zu beeinflussen, daß die Besucher dieser Seite auf eine andere Seite umgeleitet werden. Auf dieser Anderen Seite wiederum wird dann versucht, Trojaner auf dem Rechner des Seitenbesuchers einzuschleusen.

Ursachen der PHP-Injection

Bei der PHP-Injection handelt es sich um, vorsichtig ausgedrükt, nicht wohlmeinnden Zeitgenossen, die Sicherheitslücken auf Server und in den Quellcodes aufspüren, um dann diese Lücken auszunutzen und ihre php-Codes zu platzieren.

Was tun, wenn es Dein Web bereits erwischt hat?

Zum Aufspüren des Schädlings und zum Entfernen der Quellcodes ist es zuerst einmal wichtig zu wissen, wie dieser Quellcode arbeitet.

Der von uns beschriebene Quellcode befällt ausschließlich Webseiten, die mit PHP arbeiten. Andere Versionen gibt es sicherlich auch für ASP, auf die wird hier aber nicht eingegangen.

Beim Einfügen des Quellcodes wird es dem Webseitenbetreiber nicht leicht gemacht, den Code aufzuspüren. Der Blick in die Quellcodeansicht des Browsers offenbart lediglich ein Javascript, daß den Webseitenbesucher zu einer anderen Webseite weiterleitet. Dieser Code ist aber in den Quelldateien der Webseite nicht aufzufinden.

Dann wäre es ja ganz leicht, diesen zu entfernen.

Der Trick ist folgender:
Es wird eine verschlüsselter Quellcode eingefügt, der nur aus einer recht langen Reihe von Zeichen besteht, die nicht an das eigentliche Javascript erinnern. Dieser Code wird über die php-Funktion base64_decode entschlüsselt und dann als Javascript-Code im Klartext an den Browser gesendet.

Mit dem Trojaner-tool von OVM können Sie die über die Trojaner-Scan-Funktion die Trojaner aufspüren und entfernen.

Wie wende ich das Trojaner-Tool an?

Ein Anleitung/How-TO in wenigen Schritten zur Trojaner – Entfernung:

1. Sicherung aller PHP-Dateien Ihres Webs per ftp (zum Beispiel auf Ihren lokalen PC)

2. Download unseres Scripts (Downloadlink)

3. Entpacken der gezippten Scriptdatei

4. Upload des php-scripts per ftp in das Root-Verzeichnis Ihrer Homepage/Ihres Blogs

5. Aufrufen des Scripts über Ihren Standard-Browser

6.1. Nach dem Afuruf des Scripts sehen Sie nochmal eine aktuelle Erklärung

6.2. Im 2. Step sucht das Script nach befallenen Dateien und zeigt Ihnen diese Dateien mit Dateinahme und dem (vermutliche) erkannten Schadscript an.

6.3. Überprüfen Sie die erhkannten Scriptbereiche. Es kann natürlich sein, daß in manchen Webseiten der Befehl zum decodieren auch aus eniem anderen Grund enthalten ist. Dies sollte im Zweifelfsfall mit dem Ersteller der Seite geprüft werden.

6.4. Markieren Sie die zu entfernenden Schädlingscripte über die Checkbox und notieren Sie sich die Dateinamen, die Sie zur Bereinigung ausgewählt haben.

6.5. Klicken Sie auf „Bereinigen“, damit die Scripte entfernt werden.

7. Löschen Sie die Datei wieder von Ihrem Webspace.

8. Sie können das Script für weitere Verwendung aufbewahren. Tip: Regelmässige Überprüfung Ihrer Webseite

Haftungsauschluß/Nutzungsbedingungen

Dieses Script wurde von OVM erstellt und wird kostenlos zur Verfügung gestellt und darf unter Verwendung des Copyrights weiter gegeben werden.
Es kann keine Garantie für das Script übernommen werden. Weder dafür, daß schadhafte Scripts erkannt und entfernt werden können, noch dafür daß eventell Scriptteile entfernt werden, die keine Schadscripts scind.

Die Erkennung der Angriffe beruht auf der Verwendung der php-Funktion base64_encode in Zusammenhang mit dem eval-befehl. Da die Verwendung des eval-Befehls ohnehin Sicherheitsbedenken unterliegt, kann man davon ausgehen, daß die Kombination dieser beiden Befehle in der vorgestellten Art primär dazu verwendet wird, Codefunktionen zu verschleiern.

Jede Haftung für Datenverlust oder eventuelle Folgekosten wird absolut ausgeschlossen.

[stextbox id=“warning“ defcaption=“true“]Wichtig: Sichern Sie Ihre Quellcodes vor dem Ausführen dieses Scripts![/stextbox]

[stextbox id=“download“ defcaption=“true“ mode=“js“ direction=“ltr“ shadow=“true“]Download schadscript_entfernen.zip[/stextbox]

Bitte informieren Sie uns hier über die Kommentarfunktion über den Erfolg oder auch über Probleme bei der Ausführung des Scritps, vielen Dank.