Per rendere questa risposta più generale, ho rimosso i domini effettivi: i link tendono a scadere a breve quando l'amministratore del sito compromesso risponde al problema.
I'm curious about this specific case. -- curl
'ing -- seemingly useless -- obfuscated javascript
Questo http://example.com/administrator/components/com_falang/inferentialj.html
può essere visto come un punto di ingresso. Contiene JavaScript offuscato apparentemente inconfondibile che non per sé contiene qualcosa di direttamente dannoso. Molti di questi cercano di apparire come un normale componente o plug-in CMS, e alcuni addirittura si attivano solo in determinate condizioni, come quando qualcuno visita il sito per la prima volta. Tutto questo per la sopravvivenza: per nascondersi dall'amministratore del sito il più a lungo possibile. L'unico scopo per il punto di ingresso potrebbe essere quello di reindirizzare l'utente altrove, come avviene ora.
Ciò che succede dopo può anche variare a seconda delle condizioni, per complicare le indagini. Il prossimo sito può essere configurato per fornire il payload effettivo solo quando un browser effettivo lo accede, o solo se il user agent del browser corrisponde a qualcosa che potrebbe essere sfruttato. Può dare diversi contenuti quando user agent è ad es. curl/7.52.1
, quindi offuscare l'agente utente utilizzando curl -A
può diventare utile. Il prossimo URL http://example.net/?s=27012018&a=401336&c=cpcdiet
restituisce una risposta vuota a curl
, mentre Google Chrome ottiene un nuovo reindirizzamento HTTP:
Location: http://example.net/all/gcqs/cpc?bhu=CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d
che ha il seguente contenuto (indentazione aggiunta per leggibilità):
<link rel="stylesheet"
href="/assets/CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d/theme_1pgoz4.css?CID=411298"
type="text/css">
<link rel="dns-prefetch"
href="http://203.0.113.61.d.example.org">
<script>
window.location.replace("http://pharmacy-site.example.org");
dove
- l'URL
stylesheet
ha solo un segnaposto CSS contenente solo /*...Empty theme...*/
- l'
dns-prefetch
URL conduce attualmente a NXDOMAIN
- il
script
finalmente reindirizza a un sito intitolato Negozio online di farmacia , vendendo Viagra.
La posizione finale è un dominio registrato a una persona privata dalla Russia; alta probabilità di truffa.
What potential security flaws could I have been exposed to by simply slicking on an unknown link, and doing nothing else?
Questo ha un enorme potenziale di essere dannoso in generale, ma dipende da come reagisce il tuo browser ed è l'exploit mirato contro una vulnerabilità in questo particolare ambiente.
Questa indagine ha rivelato che potresti aver perso denaro ordinando il Viagra su un sito farmaceutico (probabilmente falso), ma potrebbe anche essere stato peggio.