ComputerBase Menü
Aktuelles

Fremder Code/Scripte auf Webseites

C

Cave Johnson

Gast
Hi,

seit gestern hab ich das Problem, dass in allen meinen Webseites fremder Code angezeigt wird. Heute bekam ich auch eine Mail, dass jemand auf einer Seite einen Trojaner (JS/Exploit-Blacole.eu) gefunden hat, was ich auch bestätigen konnte. An zwei von drei Seiten hab ich die letzten Tage auch was geändert. An der Dritten seit 2 Monaten definitiv nicht mehr.

Nun ist die Frage, wo kommt das Zeug her?

Wenn ich mir den Quellcode direkt ansehe, dann scheint alles sauber zu sein, dementsprechend sind auch meine PHP-Dateien erstmal ok.

Schau ich aber mit Firebug rein, dann tauchen da u.a. divs und unsichtbare iframes mit unterschiedlichen Adressen auf:
Anhang anzeigen 309201

Ich hab die Seiten gestern komplett neu hochgeladen und es war zunächst auch ok. Jetzt ist es aber wieder aufgetreten. Der Hoster ist verständigt und guckt sich das mal an. Ich habe mir das ganze auch von einem eigentlich 100 % sauberen Sytem angeschaut in einer VM mit Sandbox um sicherzugehen, dass es nicht von meinem Rechner/Browser kommt.

Ich spiel bei mir erstmal ein Backup auf - man weiß ja nie.

Hat jemand ne Idee, was da los ist? Ich nenn die Adressen erstmal nicht, damit sich da niemand was einfängt.
 
Wenn du den Code nicht hochgeladen hast, dann liegt die Vermutung nahe, dass er von außen durch eine Sicherheitslücke eingefügt wurde. Ohne die Adresse kann ich das aber nicht weiter verfolgen :)
 
Bindest du ein externes JavaScript ein? Sowas wie jQuery aus dem Google CDN schließ ich mal aus (da kommt wohl keiner ran), aber sonst irgend welche externen Skripte? Evtl. eine Werbe-Plattform? Ad-Tools werden gern mal für so etwas missbraucht.

Ansonsten haben du und/oder dein Hoster ne richtig dicke Laus im Pelz.
 
Würde auch mal die Zugangsdaten zum Uploadsystem des Hosters ändern.
 
Benutzt Du Joomla? Ich weiß von einer Seite, die seit dem Wochenende das gleiche Problem hat, genau diese wiederkehrenden iframe-Injections. Dabei sind auch die HTML- und PHP-Dateien auf dem Server betroffen, die fremden Daten sind auch in Dateien zu finden, die man per FTP vom Server zieht.
 
Kann auch vom Provider der Website kommen, wenn die dort Werbung mit auf deine Seite packen, hängen die teilweise noch Skripte dran, obwohl sie bei dir nicht vorhanden sind. bplaced macht sowas glaub ich.
 
Also das einzige was auf allen drei Seiten von extern kommt wäre Google Adsense.

Ansonsten noch auf zwei Seiten das Social Share Privacy-Script von Heise - in dem Zusammenhang fiel mir auch auf, dass der Facebook-Button nicht mehr angezeigt wird. Ich hab das Script jetzt erstmal entfernt. Alle anderen Scripte liegen direkt bei mir im Webspace.

Der Hoster scheint gerade Daten am FTP zu sammeln, deswegen will ich da jetzt aktuell nichts verändern. Zugangsdaten hab ich neu gemacht.
 
Der FB-Button könnte verschwunden sein, weil ein vor gezündetes JavaScript abgeschmiert ist. Wenn dann das Script dran ist, dass den Heise-Button einbindet, ist der Parser schon im Jenseits.

Da hilft nur: Konsole lesen, gucken was alles so rot aufleuchtet.
 
Twitter und Google funktionieren allerdings noch - kann gut sein, dass der FB-Button auch nur irgendwo druntergerutscht ist. Muss ich morgen nochmal gucken.



Ein iFrame, dass ab und an eingebunden wird verweist jedenfalls auf espace-en-soi.org. Bei Google findet man haufenweise Seiten, in denen ebenfalls ein iFRame von dieser Domain eingebunden wird. Sucuri Malware Labs sagt zu der Domain:

  • Site blacklisted for being used to distribute malware.
  • Our latest scan identified some issues on this site.

Genau dasselbe auch bei metra3.sk (aus obigem Screenshot).

Von Adsense scheint es auch nicht zu kommen, da das Problem auch besteht, wenn ich das JS davon entferne. Piwik wäre jetzt noch eine Idee gewesen, aber das scheint auch nicht das problem zu sein.

Vielleicht kann mir mein Hoster heute Nachmittag mehr sagen. Irgendwas wurde jedenfalls gemacht, denn im Root aller drei Webpacks liegt jetzt eine Datei namens Liste_von_Dateien_mit_f524d6_im_Dateiinhalt.txt, in der u.a. einige JS und PHP-Dateien aufgelistet sind.
 
Zuletzt bearbeitet:
Was läuft auf dem Webspace denn? Eventuell ein fertiges CMS, Forum, whatever welches Sicherheitslücken haben könnte?
Ist dieser Fremde Code nachher nur im HTML des Browsers vorhanden oder liegt der auch schon im Code auf dem Server?

Die Infos sind leider etwas dürftig.
 
Auf einer Seite läuft ein Forum von punBB, ansonsten ist alles selbst geschrieben, kein CMS o.ä. Lediglich jQuery und einige JS verwende ich - aber eigentlich nichts exotisches.

Von extern kommen Adsense und das SocialSharePrivacy-Plugin. Wie gesagt, den fremden Code sehe ich nur in Firebug, nicht im Quelltext direkt.

Laut Hoster sind "Die Zugangsdaten fuer Ihre(n) FTP-Account(s) [..] scheinbar Dritten bekannt.". Aber wo jetzt der fremde Code herkommt weiß ich auch nicht. Die Datei sieht auf dem Server genau so aus, wie lokal bei mir auf der Platte - keine Anzeichen von irgendwelchen Änderungen, die dann in Firebug sichtbar sind.

Naja, muss ich am Wochenende mal gucken, wenn ich mehr Zeit habe.
 
Der Code muss doch nicht im HTML oder PHP stehen. Der kann getrost in einem deiner JavaScripts liegen. Mit etwas Code Ofuscation findest du da kaum noch was.
Was du definitiv machen könntest, falls du einen Shell-Zugang hast: "grep -lir "iframe" ./" im Webroot. Da du ja wohl kaum massig iframes verwendet hast sollte das schnell zum ergebnis führen
 
Danke, werd ich mal machen; meine JSs hab ich jedenfalls schon durchsucht, da finde ich nichts.

Vom Hoster wurden noch einige Logfiles generiert, da guck ich später noch rein. Vielleicht finde ich da was Aufschlussreiches.



edit: so, also vom Hoster wurden mit jetzt einige Dateien genannt, die tatsächlich fremde/bösartige JSs enthielten, die o.g. iframes eingebunden haben. Hab das soweit alles bereinigt und meinerseits nochmal alle Dateien durchsucht. Scheint wieder alles sauber zu sein.

In den Logfiles von FTP-Übertragungen waren tatsächlich einige nicht von mir verursachte Uploads zu finden. Wobei ich absolut keinen Schimmer habe, wie das möglich ist. Habe meinen PC mit allem Antiviren-/Antimalware-Gedöns gescannt, das verfügbar ist. Absolut nichts gefunden. Aber selbst nachdem die Zugangsdaten zum FTP geändert wurden, trat das Problem wieder auf.

Habe den FTP-Zugang zu den Seiten erstmal deaktiviert, so dass darüber zumindest nichts mehr passieren kann. Mal gucken, ob das so bleibt. Mein PC ist jedenfalls auch erstmal wieder frisch. Zusätzlich werd ich mal den FTP-Client wechseln.

Danke für die Hilfe :)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Benj
  • Gesperrt
News Fremder Code in Microsoft-Tool?
7 8 9
Antworten
164
Aufrufe
25.577
Benj
Benj
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz