Hilfe: 240 Zeilen kleine PHP-Datei plötzlich 8,45MB groß ?
- Ersteller StephanBo
- Erstellt am
Werbung:
![]()
scbawik
Senior HTML'ler
Und was ist das für eine Datei? Hast du die selbst geschrieben oder woher kommt die?
Sieh dir eben mal den Inhalt der Datei an.
Ich tippe mal ins Blaue: Deine Seite wurde gehackt und der "Trojaner" ist außer Kontrolle geraten beim "verseuchen". Oder, eines deiner Scripts ist außer Kontrolle geraten und macht das gleiche.
Sieh dir eben mal den Inhalt der Datei an.
Ich tippe mal ins Blaue: Deine Seite wurde gehackt und der "Trojaner" ist außer Kontrolle geraten beim "verseuchen". Oder, eines deiner Scripts ist außer Kontrolle geraten und macht das gleiche.
Timmer
Mitglied
Ich kenn Programme, mit denen man Dateien "aufpumpen" kann, dort werden dann zufällige Zeichen in die Metadaten einer Datei geschrieben. Die Datei selbst bleibt danach völlig intakt.
Öffne die Datei, kopiere den Inhalt in eine neue und schau mal, was dabei rauskommt. Achte aber auch auf Whitespaces, z.B. am Ende der Datei.
Öffne die Datei, kopiere den Inhalt in eine neue und schau mal, was dabei rauskommt. Achte aber auch auf Whitespaces, z.B. am Ende der Datei.
Werbung:
![]()
Das ist eine total simple Datei, in der mittels GET-Parameter eine Ländererkennung gezogen wird (entweder englisch oder deutsch) und dann jeweils ein Artikel mit der richtigen Sprache angezeigt wird.
Interessant ist, dass die Datei im Editor extrem weit nach rechts scrollbar ist, jedoch kein Code zu sehen ist.
Wie würde sich denn ein Trojaner normalerweise bemerkbar machen?
Interessant ist, dass die Datei im Editor extrem weit nach rechts scrollbar ist, jedoch kein Code zu sehen ist.
Wie würde sich denn ein Trojaner normalerweise bemerkbar machen?
Werbung:
![]()
Timmer
Mitglied
Tja, dann handelt es sich um Whitespaces, also relativ harmlos.
Muss aber nicht heißen, dass ein Trojaner auf deinem Server liegt. Vielleicht hatte einfach jemand Zugang zum Server?
Ansonsten wende dich mit dem Problem mal an deinen Hoster, vielleicht hat ja auch ein anderer Kunde das gleiche Problem und der Server ist tatsächlich infiziert.
[Edit:] Grrr, schon wieder schneller! xD
Muss aber nicht heißen, dass ein Trojaner auf deinem Server liegt. Vielleicht hatte einfach jemand Zugang zum Server?
Ansonsten wende dich mit dem Problem mal an deinen Hoster, vielleicht hat ja auch ein anderer Kunde das gleiche Problem und der Server ist tatsächlich infiziert.
[Edit:] Grrr, schon wieder schneller! xD
HTML Editor mal geschlossen und wieder geöffnet, jetzt ist zumindest das Scrollen nach rechts nicht mehr möglich. Die Datei habe ich nun gelöscht und durch ein früheres Backup ersetzt.
Ich schließe dennoch nicht aus, dass ich Opfer eines Hacks wurde, da ich gerade ein sehr sensibles Projekt betreue, bei dem viele Interesse haben, dies zu sabotieren. Klingt schon fast verschwörungstheoretisch, ist es aber leider auch :-)
Ich schließe dennoch nicht aus, dass ich Opfer eines Hacks wurde, da ich gerade ein sehr sensibles Projekt betreue, bei dem viele Interesse haben, dies zu sabotieren. Klingt schon fast verschwörungstheoretisch, ist es aber leider auch :-)
Asterixus
Aktives Mitglied
Darf man wissen, wie du darauf kommst, dass da kein Code drin ist oder hast du ein so scharfes Adlerauge, dass du 9MB Code beim Scrollen sehen kannst. Darum geht es nämlich bei dem Manöver: Du sollst glauben, da ist nichts.
PHP:
$code = preg_replace("/(\t| ){4}/", "", file_get_contents("datei.php"));
echo $code;Was gibt das?
Werbung:
![]()
scbawik
Senior HTML'ler
Dann behaupte ich mal du hast was falsch gemacht. Weiß zwar nicht was die Regex macht, aber ich denke sie löscht den Whitespace und gibt dann nur den Code zurück, der in der Datei war. Den Pfad von file_get_contents() hast du angepasst?
Edit: Irgendwann schaffst du's, @Timmer
Edit: Irgendwann schaffst du's, @Timmer
Timmer
Mitglied
Garkeinen Code? Hast du den Pfad & Dateinamen angepasst? Und hast du ihn richtig angepasst?
Probier das mit deinem Pfad & Dateinamen, wenn da nix kommt liegts daran ;)
[Edit:] scbawik Ò,..,Ó
Die Regex sucht alle Vorkommnisse mit 4 Leerzeichen/Tabs und ersetzt diese mit nichts ;)
Probier das mit deinem Pfad & Dateinamen, wenn da nix kommt liegts daran ;)
PHP:
echo file_get_contents("datei.php");[Edit:] scbawik Ò,..,Ó
Die Regex sucht alle Vorkommnisse mit 4 Leerzeichen/Tabs und ersetzt diese mit nichts ;)
Werbung:
![]()
Ich sehe den HTML Code und teilweise auch den von mir verwendeten PHP-Code. Aber nichts ungewöhnliches ist zu sehen. Der Whitespace ist auch nicht mehr vorhanden, da ich wie gesagt das Backup der Datei aufgespielt habe und die 8,5MB große Datei Geschichte ist.
Jungs, ich glaube wir haben ein echtes Problem gerade und ich muss mich jetzt ganz dringen drum kümmern. Meine Datei hat gerade wie von mir beschrieben rumgesponnen und jetzt ist auch noch unsere gesamte Seite nicht zu erreichen, die auf einem ganz anderen Server liegt und in keinster Weise mit mir oder einem Code von mir in Berührung kam. Befürchte gerade Schlimmes.
Jungs, ich glaube wir haben ein echtes Problem gerade und ich muss mich jetzt ganz dringen drum kümmern. Meine Datei hat gerade wie von mir beschrieben rumgesponnen und jetzt ist auch noch unsere gesamte Seite nicht zu erreichen, die auf einem ganz anderen Server liegt und in keinster Weise mit mir oder einem Code von mir in Berührung kam. Befürchte gerade Schlimmes.
Timmer
Mitglied
Tja, das kann nix gutes heißen. Sicher, dass du nicht irgendwo deine eigenen Files öffnest und dort evtl. ein Fehler im Code sein könnte, der die Files aufpumpt? Das könnte übrigens auch der Grund sein, warum eure Seite nicht mehr verfügbar ist. Kam bei uns auch schon vor, dass bestimmte Dateien die Platte vollgepumpt haben, bis nix mehr ging ;)
[Edit:] *hehe* @scbawik
[Edit:] *hehe*
@scbawik
Zuletzt bearbeitet:
scbawik
Senior HTML'ler
Du solltest auch nicht das Backup untersuchen - sondern die möglicherweise manipulierte 8MB Datei.
Ich würde an deiner Stelle sicherheitshalber mal meinen Host kontaktieren. Leider sind die 'großen' (Strato etc) meist unfähig in irgendeiner Weise zu helfen da du dort meist mit irgendeiner Call-Center-Tante aus Ost-Europa telefonierst, die überfordert sind wenn sie den Desktop-Hintergrund ändern müssen.
Edit: So, jetzt warst du schneller ;)
Ich würde an deiner Stelle sicherheitshalber mal meinen Host kontaktieren. Leider sind die 'großen' (Strato etc) meist unfähig in irgendeiner Weise zu helfen da du dort meist mit irgendeiner Call-Center-Tante aus Ost-Europa telefonierst, die überfordert sind wenn sie den Desktop-Hintergrund ändern müssen.
Edit: So, jetzt warst du schneller ;)
Werbung:
![]()
