ich habe auf einem kompromittierten Server JavaScript Code gefunden, der scheinbar von einem Bot in alle index.php und index.html Seiten eingefügt wurde.
Wie der Einbruch zustande kam ist inzwischen klar und alles weitere wie ein Neuaufsetzen wurde in die Wege geleitet.
Nun frage ich mich trotzdem, was das Javascript macht, da es verschlüsselt ist. Hat jemand eine Idee ?
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
wow, super tip mit dem alert.
Es lädt ein weiteres JavaScript Element nach, das wiederum ein iFrame lädt.
Was das macht ist mir allerdings rätselhaft, da es mich als "Nicht-bot erkennt"
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Für FF gibt es die WebDeveloper Erweiterung mit der Option "View generated source" - der zeigt dann auch an was da ausgeführt wird.
Ist auch möglich dass von der Iframe Seite wieder von irgendwo anders etwas geladen wird.
ich habe auf einem kompromittierten Server JavaScript Code gefunden, der scheinbar von einem Bot in alle index.php und index.html Seiten eingefügt wurde.
Wie der Einbruch zustande kam ist inzwischen klar und alles weitere wie ein Neuaufsetzen wurde in die Wege geleitet.
Nun frage ich mich trotzdem, was das Javascript macht, da es verschlüsselt ist. Hat jemand eine Idee ?
Hi,
in den letzten 3 Tagen habe ich die gleiche Sauerei auf meinem Server beseitigt. Leider habe ich noch keine Ahnung, wie das zustande gekommen ist.
Kann mir jemand sagen, wie der Bot Zugriff auf den Server bekommen hat? Ich muß unbedingt die Sicherheitslücke schließen, sonst geht das ja garantiert wieder von Vorne los.
Ein Blick in die Logs müsste Aufschluß geben. Normalerweise wird sowas per Injection reingeschoben, RFI oder Code Injection oder ein Script dass Dateien modifiziert und dann mit entsprechenden Parametern versorgt andweitig Änderungen vornimmt.
Bei Foren die ihre Stylesheets und ähnliches in der Datenbank ablegen geht das Ganze noch per SQL Injection.
Hier auch unbedingt die eingesetzte Software überprüfen ob da alles auf dem aktuellen Stand ist und über eventuelle Lücken informieren, dass dürfte bei der Suche in den Logs zumindest etwas helfen die Sache einzugrenzen.
Achso - für die Zukunft - vielleicht darüber nachdenken ein IDS einzusetzen dass Prüfsummen erstellt. Meldet sich dass besteht zumindest ein Anfangsverdacht und man merkt früher dass etwas nicht stimmt.
