Website besmet met Javascript code.

Deze javascript zit waarschijnlijk gewoon verwerkt in één van je thema bestanden. Dus even die regel opzoeken, er uit slopen en je wordpress updaten. Gelijke je wachtwoord veranderen.

Die Apache backdoor lijkt me niet direct relevant. Eerder je Wordpress install - er zijn de laatste tijd weer wat lekke plugins, loop dat dus even goed na.

Heb je een DM gestuurd met de ontsleutelde JS code. Veel plezier ermee

Ik denk trouwens ook dat het een wordpress exploit zal zijn, dat gebeurd nu eenmaal zo vaak.

[ Voor 40% gewijzigd door azerty op 04-05-2013 16:39 ]

iboowtje schreef op zaterdag 04 mei 2013 @ 17:07:
[...]


Bedankt, ik heb catch(d21vd12v) via Google opgezocht, het lijkt erop dat er ook andere websites zijn besmet die geen Wordpress draaien. Daarnaast heeft het alle index bestanden van de subdomeinen ook besmet.

Hoe heb jij trouwens de Javascript code decrypt ?

Code diagonaal gelezen, gezien dat de laatste regel in de catch basically een eval was, dus dat vervangen door een console.log en de code in firebug console uitgevoerd.

Het domein dat er in staat zal trouwens ook wel een gehackte server/site zijn, maar misschien kun je wel de eigenaar daarvan inlichten zodat hij die code kan weghalen.

Update: als je inderdaad op die catch... zoekt zie je dat het vooral wordpress en joomla is, dus zal wel een bot zijn die crawlt en automatisch naar exploits zoekt.

[ Voor 23% gewijzigd door azerty op 04-05-2013 17:15 ]

Het is duidelijk een iframe inject van een live landingpage.
Als je software (en dan vooral je Java) niet up-to-date is zal ik me ernstig zorgen gaan maken of je niet besmet bent.

resultaten: http://pastebin.com/creANqJh

Het direct bezoeken van de url in de paste zorgt er echter niet voor dat je besmet wordt

[ Voor 17% gewijzigd door photofreak op 04-05-2013 18:24 ]

Als ik zo kijk op de Virustotal link is dat deze exploit nog geheel bekend is bij de Anti-virus makers. Misschien een idee om deze een sample te sturen zodat zij hier verder onderzoek naar kunnen doen?

LnC schreef op maandag 06 mei 2013 @ 12:45:
Als ik zo kijk op de Virustotal link is dat deze exploit nog geheel bekend is bij de Anti-virus makers. Misschien een idee om deze een sample te sturen zodat zij hier verder onderzoek naar kunnen doen?

Meh, meestal zit er een pdf exploit (CVE-2010-0188), java exploit (CVE-2013-2423 + waarschijnlijk nog wat oudere) en misschien ook nog een IE exploit (CVE-2012-1889) in zo'n exploitation kit. Maar dat is ook afhankelijk van settings in exploit pack en welke software je draait. Maar de java exploit voor CVE-2013-2423 is wel redelijk doeltreffend. o_o

Verder zal het wel een banking trojan, dropper of politievirus zijn.