_ answer3019434 _

Der obige Code schreibt einen Code, der den Code auf der russischen Seite aktiviert ( Ссылка ), das ein unsichtbares DIV mit einem iFrame hinzufügt, von dem ich annehme, dass es ein Bild eines Welpen enthält.

_ answer3024140 _

Wenn ich bedenke, dass ich diese Seite nicht einmal in Windows laden konnte, weil mein AV mich davon abgehalten hat, ja, es ist ein Virus.

_ tag123javascript _ JavaScript (nicht zu verwechseln mit Java) ist eine dynamische Sprache mit mehreren Paradigmen auf hoher Ebene, die sowohl für das clientseitige als auch für das serverseitige Scripting verwendet wird. Verwenden Sie dieses Tag für Fragen zu ECMAScript und seinen verschiedenen Dialekten / Implementierungen (außer ActionScript und Google-Apps-Script). _ tag123security _ Themen in Bezug auf Anwendungssicherheit und Angriffe auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn es sich bei Ihrer Frage nicht um ein spezielles Programmierproblem handelt, können Sie es stattdessen bei Information Security SE anfordern: https://security.stackexchange.com _ tag123expressionengine _ ExpressionEngine ist ein kommerzielles Content-Management-System, das in PHP geschrieben ist. Die meisten ExpressionEngine-Fragen werden in der ExpressionEngine StackExchange besser gestellt, es sei denn, sie betreffen die Entwicklung (z. B. die Entwicklung von Erweiterungen in PHP). _ qstntxt _

Ich habe die Website meines Kunden letzte Woche auf die Standards xHTML Strict 1.0 / CSS 2.1 überprüft. Heute, als ich es erneut überprüft habe, hatte ich einen Validierungsfehler, der durch ein merkwürdiges und vorher unbekanntes Skript verursacht wurde. Ich habe das in der index.php Datei meines ExpressionEngine CMS gefunden. Ist das ein Hacker-Versuch, wie ich vermutet habe? Ich konnte nicht anders, als die russische Domain zu bemerken, die im Skript kodiert ist ...

Was macht dieses Javascript? Ich muss meinem Kunden die spezifischen Gefahren erklären.
%Vor%
_ answer3019432 _

Das Skript fügt Ihrem abschließenden Body-Tag im Prinzip die folgende Zeile hinzu:
%Vor%
Es versucht also, ein externes Skript auf Ihre Site zu laden. Ich bin mir nicht sicher, was dieses Skript macht - aber ohne Zweifel ist es nichts Nettes.

Darüber hinaus zeigt eine schnelle Suche nach "towersky.ru" bei Google Listen von bösartigen Websites, die diese Website enthalten.

_ answer3019366 _

Ja. Die Website wurde kompromittiert.

Was Sie tun müssen, ist:

Stellen Sie sicher, dass jeder, der Zugriff auf diese Kennwörter hatte, einen aktualisierten Virusscan auf Computern ausführt, von denen er sich möglicherweise bei der Site angemeldet hat.

Stellen Sie sicher, dass Sie alle Anmelde- und Administratorkennwörter ändern.

Wenn möglich, sollten Sie wahrscheinlich zur Codebasis zurückkehren, so wie sie vor Ihnen aufgetreten ist.

Überprüfen Sie die Änderungszeit des Skripts, in dem Sie dieses Snippet gefunden haben (wenn es nicht zu spät ist), und suchen Sie nach anderen Dateien, die zu diesem Zeitpunkt geändert wurden. Das Skript wird wahrscheinlich zufällig generiert, so dass das Greifen nach Teilen davon wahrscheinlich nicht schlüssig ist.

Wenn dieses Skript seinen Weg finden konnte, dann auch andere. Es ist nicht ungewöhnlich, dass Websites durch Keylogging-Trojaner auf den Computern derjenigen manipuliert werden, die sich an ihnen anmelden.
Siehe Ссылка

___

Question

_ answer3019434 _

Der obige Code schreibt einen Code, der den Code auf der russischen Seite aktiviert ( Ссылка ), das ein unsichtbares DIV mit einem iFrame hinzufügt, von dem ich annehme, dass es ein Bild eines Welpen enthält.

_ answer3024140 _

Wenn ich bedenke, dass ich diese Seite nicht einmal in Windows laden konnte, weil mein AV mich davon abgehalten hat, ja, es ist ein Virus.

_ tag123javascript _ JavaScript (nicht zu verwechseln mit Java) ist eine dynamische Sprache mit mehreren Paradigmen auf hoher Ebene, die sowohl für das clientseitige als auch für das serverseitige Scripting verwendet wird. Verwenden Sie dieses Tag für Fragen zu ECMAScript und seinen verschiedenen Dialekten / Implementierungen (außer ActionScript und Google-Apps-Script). _ tag123security _ Themen in Bezug auf Anwendungssicherheit und Angriffe auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt. Wenn es sich bei Ihrer Frage nicht um ein spezielles Programmierproblem handelt, können Sie es stattdessen bei Information Security SE anfordern: https://security.stackexchange.com _ tag123expressionengine _ ExpressionEngine ist ein kommerzielles Content-Management-System, das in PHP geschrieben ist. Die meisten ExpressionEngine-Fragen werden in der ExpressionEngine StackExchange besser gestellt, es sei denn, sie betreffen die Entwicklung (z. B. die Entwicklung von Erweiterungen in PHP). _ qstntxt _

Ich habe die Website meines Kunden letzte Woche auf die Standards xHTML Strict 1.0 / CSS 2.1 überprüft. Heute, als ich es erneut überprüft habe, hatte ich einen Validierungsfehler, der durch ein merkwürdiges und vorher unbekanntes Skript verursacht wurde. Ich habe das in der index.php Datei meines ExpressionEngine CMS gefunden. Ist das ein Hacker-Versuch, wie ich vermutet habe? Ich konnte nicht anders, als die russische Domain zu bemerken, die im Skript kodiert ist ...

Was macht dieses Javascript? Ich muss meinem Kunden die spezifischen Gefahren erklären.
%Vor%
_ answer3019432 _

Das Skript fügt Ihrem abschließenden Body-Tag im Prinzip die folgende Zeile hinzu:
%Vor%
Es versucht also, ein externes Skript auf Ihre Site zu laden. Ich bin mir nicht sicher, was dieses Skript macht - aber ohne Zweifel ist es nichts Nettes.

Darüber hinaus zeigt eine schnelle Suche nach "towersky.ru" bei Google Listen von bösartigen Websites, die diese Website enthalten.

_ answer3019366 _

Ja. Die Website wurde kompromittiert.

Was Sie tun müssen, ist:

Stellen Sie sicher, dass jeder, der Zugriff auf diese Kennwörter hatte, einen aktualisierten Virusscan auf Computern ausführt, von denen er sich möglicherweise bei der Site angemeldet hat.

Stellen Sie sicher, dass Sie alle Anmelde- und Administratorkennwörter ändern.

Wenn möglich, sollten Sie wahrscheinlich zur Codebasis zurückkehren, so wie sie vor Ihnen aufgetreten ist.

Überprüfen Sie die Änderungszeit des Skripts, in dem Sie dieses Snippet gefunden haben (wenn es nicht zu spät ist), und suchen Sie nach anderen Dateien, die zu diesem Zeitpunkt geändert wurden. Das Skript wird wahrscheinlich zufällig generiert, so dass das Greifen nach Teilen davon wahrscheinlich nicht schlüssig ist.

Wenn dieses Skript seinen Weg finden konnte, dann auch andere. Es ist nicht ungewöhnlich, dass Websites durch Keylogging-Trojaner auf den Computern derjenigen manipuliert werden, die sich an ihnen anmelden.
Siehe Ссылка

___

8

Ich habe die Website meines Kunden letzte Woche auf die Standards xHTML Strict 1.0 / CSS 2.1 überprüft. Heute, als ich es erneut überprüft habe, hatte ich einen Validierungsfehler, der durch ein merkwürdiges und vorher unbekanntes Skript verursacht wurde. Ich habe das in der index.php Datei meines ExpressionEngine CMS gefunden. Ist das ein Hacker-Versuch, wie ich vermutet habe? Ich konnte nicht anders, als die russische Domain zu bemerken, die im Skript kodiert ist ...

Was macht dieses Javascript? Ich muss meinem Kunden die spezifischen Gefahren erklären.

%Vor%

javascript security expressionengine

Julian 10.06.2010, 23:52

quelle

4 Antworten

11

Der obige Code schreibt einen Code, der den Code auf der russischen Seite aktiviert ( Ссылка ), das ein unsichtbares DIV mit einem iFrame hinzufügt, von dem ich annehme, dass es ein Bild eines Welpen enthält.

Seth 11.06.2010 00:15

quelle

4

Das Skript fügt Ihrem abschließenden Body-Tag im Prinzip die folgende Zeile hinzu:

%Vor%

Es versucht also, ein externes Skript auf Ihre Site zu laden. Ich bin mir nicht sicher, was dieses Skript macht - aber ohne Zweifel ist es nichts Nettes.

Darüber hinaus zeigt eine schnelle Suche nach "towersky.ru" bei Google Listen von bösartigen Websites, die diese Website enthalten.

user353297 11.06.2010 00:14

quelle

2

Wenn ich bedenke, dass ich diese Seite nicht einmal in Windows laden konnte, weil mein AV mich davon abgehalten hat, ja, es ist ein Virus.

TheLQ 11.06.2010 15:38

quelle

Tags und Links javascript security expressionengine

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Linux-Entwickler, die C ++ kennen? [geschlossen]

score 14 · Accepted Answer

Ja. Die Website wurde kompromittiert.

Was Sie tun müssen, ist:

Stellen Sie sicher, dass jeder, der Zugriff auf diese Kennwörter hatte, einen aktualisierten Virusscan auf Computern ausführt, von denen er sich möglicherweise bei der Site angemeldet hat.
Stellen Sie sicher, dass Sie alle Anmelde- und Administratorkennwörter ändern.
Wenn möglich, sollten Sie wahrscheinlich zur Codebasis zurückkehren, so wie sie vor Ihnen aufgetreten ist.
Überprüfen Sie die Änderungszeit des Skripts, in dem Sie dieses Snippet gefunden haben (wenn es nicht zu spät ist), und suchen Sie nach anderen Dateien, die zu diesem Zeitpunkt geändert wurden. Das Skript wird wahrscheinlich zufällig generiert, so dass das Greifen nach Teilen davon wahrscheinlich nicht schlüssig ist.

Wenn dieses Skript seinen Weg finden konnte, dann auch andere. Es ist nicht ungewöhnlich, dass Websites durch Keylogging-Trojaner auf den Computern derjenigen manipuliert werden, die sich an ihnen anmelden.
Siehe Ссылка