Seltsamer code gefunden.

Question

Hallo,

auf einer Seite von mir wurden 2 Dateien verändert am anfang und am Ende der Datei wurde JavaScript Code eingefügt. Unter anderem ein langer Hex-code string (shellcode???). Was ist das und woher kommt es (da muss doch dann jemand zugriff per ftp auf den server haben oder?)

Da der Code viel zu lang ist hier auf pastebin:
http://pastebin.com/m2be47768

Wäre super wenn mir jemand helfen könnte:

Answer 1

hi,

seltsam ist es nicht, vielleicht störend.
es muss nicht bedeuten, dass sich jemand bei dir eingehakt hat, manchmal sind solche dinge inbegriffen.
ein programm oder was du da am laufen hast, könnte auch schon so was haben.
dann die einstellungen in konfigurationsdateien und ähnliches, eine weitere quelle.
das was zu sehen ist, kann man im browser sehen oder hast du die datei nur gezeigt?
ein bisschen mehr infos, was für browser, was für datei und andere sachen hier angeben.
ich hatte mal ähnliches, betroffen war die config.php.
am anfanng der datei pflanzte sich ein 64bit kodiertes code, die zeile begann mit "eval 64" oder so.
das ergebnis, die seite spielte verrückt und man bekam auch solche komische sachen zu sehen.
eine notlösung, das unerwünschte code-teil gelöscht und die zugriffrechte der config.php auf "nur lesen" gestellt.

mfg

Answer 2

Gelöscht habe ich ihn schon und er erscheint auch nicht wieder. Aber mir geht es darum woher er kommt (von mir nicht die Dateien wurden zu einem Zeitpunkt geändert als ich im Urlaub war). Aus dem Code ansich werde ich überhaupt nicht schlau. Deswegen war ja meine Hauptfrage(n) Woher er kommt und was er macht.

MFG FireFlyer

Answer 3

Okay der Code war wieder da. Und ich vermute mal er ist sogar verdammt schädlich. Der Code kommt von newsreading.ru. Wer dazu ein bisschen googelt...
Weiss einer noch ein bisschen mehr über die?

MFG FireFlyer