Auf ein paar Webseiten unserer Kunden ist ein neuer Hack ähnlich dem base64_decode Hack aufgetaucht. Auch dieser scheint sich über eine eingeschleuste Datei auf dem gesamten Webspace zu verbreiten.
In jeder PHP-Datei auf dem Webspace ist folgende Code zu finden …
<?php $nsvilbn = 'h%)tpqsut>j%!*9! ... $nsvilbn=$mhsunvorr-1; ?>
Hinzu kommen Dateien die beispielsweise unter ~\components\com_newsfeeds versteckt sind. In diesem spezeillen Fall eine "pmboppv.php"
Was genau dieser befehl ausführt ist noch nicht bekannt. Jedoch wird das wohl auch nichts gutes sein. Ebenso ist nicht bekannt ob die Form bei jeder Webseite gleich ist, oder ob sich die Variablen je nach Webspace / Domain ändern.
Wir haben ein Skript geschrieben mit welchem sich diese Problematik schnell und einfach aus eurem Webspace entfernen lässt:
- Datei in das Root-Verzeichnis eures Webspaces laden.
- Datei über den Browser aufrufen (www.meineDomain.de/clnup.php)
- Warten und fertig.
Anschließend natürlich auch noch nach der Lücke suchen. Alle Erweiterungen updaten und auch das Joomla auf Vordermann bringen. Sonst nützt das Bereinigen nichts.
