domingo, septiembre 18, 2005

Error raro en estos sitios

Estoy teniendo un problema en mis sitios, especialmente: www.asalup.org y www.genesdigitales.com
El sintome varia segun la configuracion del equipo de quien visita esas paginas. En Linux, no pasa nada. En Windows, segun los parches que tenga y si tiene antivirus (AV) o no. Aparentemente alguien esta insertando una linea de JS al principio del codigo. Por medio de varios mecanismos desconocidos, parece que trata de descargar un troyano, usando una vulnerabilidad conocida en Windows: http://www.microsoft.com/technet/security/bulletin/MS05-002.mspx

vean esto:


Aca un miembro de ASALUP hizo su analisis del tema, da una hipotesis
interesante que explicaria porque a veces se ve y a veces no: Se debe
estar controlando el IP del visitante, para no repetir el efecto en el
mismo IP en un lapso indeterminado de tiempo. Eso explicaria su falta
de reproducibilidad (del efecto).

Aca va:

Seguramente esto que voy a informarles ya lo saben y no ayuda
demasiado, pero con suerte arrima una puntita, asi que les cuento:
Hace ya un rato largo que el bicho está en la página de ASALUP y no se
va, y a mi me tiene bastante intrigado; la verdad que me desvela saber
como caracolitos hace/n para interrumpir un .php y meter un .js. Por
supuesto que dilucidar la operativa de tal treta está a kilómetros de
mi carenciada inteligencia, pero, si no puedes con ellos, muere
heroicamente; asi que, aprovechando un agujero en el laburo, me
contruí un mini-browser para entrar a ASALUP. La intención es simple:
se trataba de hacer un "explorer" con los pantalones mas bajos
posibles, sin ninguna protección de ningún tipo, inferior al standard,
para que el .js lo sacudiera como se le diera la gana; como única
diferencia con otro browser, mando todos los pasos y estados por los
que pasa el browser al clipboard para, cuando la conexión se caiga
completamente, se pueda ver exactamente que ordenes recibió (bah, las
pocas que yo se capturar con el componente; estoy seguro que alguno
mas pila que yo, si usa las APIs puede obtener mas data).
En lineas generales pasa esto:
Uno comienza a entrar al site de ASALUP y ...
Aparecen redireccionamientos (mas de los que yo creía)...
Dllhost.exe y lsass.exe cargan mas memoria, aumentan un par de
subprocesos y ya no se dejan modificar (ni voltear ni cambiar
prioridad)...
El navegador (IE o el "MiniBro") se cuelga horriblemente mientras
comienza a cargar memoria a lo loco (el MiniBro arranca con 10 mb);
antes de los 30 segundos ya se comió mas de 120 mb.
Cuesta voltearlo; a veces hay que tirar el Explorer también.
Si en lugar de ocurrir en un advance server 2000 (lo que tengo), pasa
en un ME, se lleva consigo todo el sistema y un par de veces murió
completamente; de todos modos, en ambos sistemas te ves obligado a
reiniciar, porque quedan completamente tololos.
No tiene nada que ver la versión de IExplore en si; probé con un 2000
limpito y con cada uno de los packs (ahora no lo tengo fetén-fetén,
pero cuando esto comenzó estaba totalmente al dia ¿sp5, 6? no me
acuerdo) y el comportamiento es el mismo con o sin parches; sin duda
este agujero no tiene parche aun.
Un dato curioso es que el bicho guarda inequivocamente registro de los
contagiados: si te conectás con el mismo IP, luego de haber recibido
el golpe, no redirecciona ni aparece el script en el codigo fuente de
la pagina Asalupense; ahora, si cambiás el IP (me conecto con otro
ISP), te lo comés. Es decir, solo actúa UNA VEZ POR DIA POR CADA IP
(ojo: lo de "por dia" corre por mi cuenta, porque es la frecuencia que
he notado, pero como no realizé exahustivas pruebas hora por hora, no
se si el período es mas corto; lo que si aseguro es que no es mas
largo.) Asi que en algún lado escribe nuestra IP el muy hijo de dios.

Bueno, esto que copio acá abajo es la info que arrojó mi browser;
aclaro algunas cosas que seguro ya saben y se van a reir de mi, pero,
en fin, ruego que haya alguno que no sepa nada de programación y crea
que yo sí se. :(
Después de que uno le dá la orden de empezar a navegar ("Navigate
to"), en cualquier página, tendría que venir esta secuencia de
eventos:
READYSTATE=1 (ta'listo)
BEFORENAV (justito antes de navegar; muestrá la orden de hacia donde
lo están mandando)
READYSTATE=3 (toy laburando, che)
READYSTATE=1 (llegué)
NAVIGATECOMPLETE (Terminé de navegar, pero no bajé todo)
READYSTATES (como los anteriores)
DONWLOADCOMPLETE (Terminé de bajár, pero no de mostrar)
READYSTATES (como los anteriores)
DOCUMENTCOMPLETE (Ahora si terminé todo)
Fijensé lo que ocurre con ASALUP: Comienza a navegar y concluye la
navegación, peró ahí es interceptado por la orden de ir a trustbid.ws;
mientras trata de ir hacia allá, recibe de todos modos los commandos
de Google y permite que se baje toda la página (inteligente: no se
mete con Google). Cuando termina con Google, el navegador recibe la
orden de ir a www.vxiframe.biz y a stats4all.cc (con "www.asalup.org"
en el código), en el interín, se dispara nuevamente a stats4all.cc
(aunque buscando otra cosa) y, por alguna inexplicable razón, recibe
también una orden about:blank; tan inexlicable como que luego repita 3
veces el "DownloadComplete" (y nunca el "DocumentComplete"). Por fin,
cuando www.vxiframe.biz/adverts/050/1.php se descarga completamente,
el browser sozobra. Lo que no he podido dilucidar es cual de todos
estas cosas es la que comienza con la tragada loca de memoria; tengo
un prehistoricpentium que no me deja cargar mucha cosa para monitoreo.
Asi fue la cosa hoy (ya he comprobado que es siempre asi):

18:15:45: Navigate to http://www.asalup.org
18:15:45-> ReadyState = 1
18:15:45 BeforeNav url: http://www.asalup.org/
18:15:45-> ReadyState = 3
18:16:25-> ReadyState = 1
18:16:25 NavigateComplete url: http://www.asalup.org/
18:16:27-> ReadyState = 3
18:16:27 BeforeNav url: http://trustbid.ws/?id=index06
18:16:28-> ReadyState = 3
18:16:28 BeforeNav url:
http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-9535499065443922&dt=1126991788783&lmt=1126991788&format=120x240_as&output=html&channel=5742786345&url=http%3A%2F%2Fwww.asalup.org%2F&color_bg=333399&color_text=FF6600&color_link=FFFF00&color_url=FF6600&color_border=000066&ad_type=text_image&cc=660&u_h=600&u_w=800&u_ah=572&u_aw=800&u_cd=16&u_tz=-180&u_his=1&u_java=true
18:16:30-> ReadyState = 3
18:16:30 NavigateComplete url:
http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-9535499065443922&dt=1126991788783&lmt=1126991788&format=120x240_as&output=html&channel=5742786345&url=http%3A%2F%2Fwww.asalup.org%2F&color_bg=333399&color_text=FF6600&color_link=FFFF00&color_url=FF6600&color_border=000066&ad_type=text_image&cc=660&u_h=600&u_w=800&u_ah=572&u_aw=800&u_cd=16&u_tz=-180&u_his=1&u_java=true
18:16:30-> ReadyState = 3
18:16:30 DownloadComplete http://www.asalup.org/
18:16:30-> ReadyState = 3
18:16:30 --> DocumentComplete url:
http://pagead2.googlesyndication.com/pagead/ads?client=ca-pub-9535499065443922&dt=1126991788783&lmt=1126991788&format=120x240_as&output=html&channel=5742786345&url=http%3A%2F%2Fwww.asalup.org%2F&color_bg=333399&color_text=FF6600&color_link=FFFF00&color_url=FF6600&color_border=000066&ad_type=text_image&cc=660&u_h=600&u_w=800&u_ah=572&u_aw=800&u_cd=16&u_tz=-180&u_his=1&u_java=true
18:16:30-> ReadyState = 3
18:16:30 BeforeNav url: http://www.vxiframe.biz/adverts/050/1.php
18:16:30-> ReadyState = 3
18:16:30 BeforeNav url:
http://stats4all.cc/fa/?wmid=dark&nav=MSIE&version=400&screensize=800*600&colors=16&sver=13&java=y&ref=http%3A//www.asalup.org/&mainref=http%3A%2F%2Fwww.asalup.org%2F&navlan=&plug=&sUrl=http%3A//trustbid.ws/%3Fid%3Dindex06&sExtra=None
18:16:30-> ReadyState = 3
18:16:30 NavigateComplete url: http://trustbid.ws/?id=index06
18:16:35-> ReadyState = 3
18:16:35 NavigateComplete url: http://www.vxiframe.biz/adverts/050/1.php
18:16:37-> ReadyState = 3
18:16:37 BeforeNav url: http://stats4all.cc/fa/xSbgwRxtljtnDw/e.htm
18:16:37-> ReadyState = 3
18:16:37 BeforeNav url: about:blank
18:16:37-> ReadyState = 3
18:16:37 NavigateComplete url:
http://stats4all.cc/fa/?wmid=dark&nav=MSIE&version=400&screensize=800*600&colors=16&sver=13&java=y&ref=http%3A//www.asalup.org/&mainref=http%3A%2F%2Fwww.asalup.org%2F&navlan=&plug=&sUrl=http%3A//trustbid.ws/%3Fid%3Dindex06&sExtra=None
18:16:37-> ReadyState = 3
18:16:37 NavigateComplete url: about:blank
18:16:37-> ReadyState = 3
18:16:37 DownloadComplete http://www.asalup.org/
18:16:37-> ReadyState = 3
18:16:37 --> DocumentComplete url: about:blank
18:16:37-> ReadyState = 3
18:16:37 DownloadComplete http://www.asalup.org/
18:16:38-> ReadyState = 3
18:16:38 DownloadComplete http://www.asalup.org/
18:16:38-> ReadyState = 3
18:16:38 --> DocumentComplete url: http://www.vxiframe.biz/adverts/050/1.php

18:16:38 : PIM, PUM, CRASH!

Yo no creo en scripts, pero que los hay los hay; aca hay como cinco,
por ejemplo. Por supuesto que soy bobo e intenté entrar directamente a
cada una de las direcciones (no se que esperaba encontrar, el muy
boludo) y se me colgó todo cada vez.
Bueno, espero que además de haberlos hecho reir con mi pobre nivel
informático, puedan sacar de esto algún dato que ayude a parar esta
mierda. Me preocupa porque es un espanta gente del orto; un conocido
de Flores que entraba al site regularmente, cuando le pregunté esta
semana me dijo -como esperaba- que "no estaba entrando porque pensé
que la página andaba mal" (me contó que se "le taraba" el explorer al
entrar [Win98]) Si le pasa dos, tres veces mas... no entra mas.
Avisenme si hay alguna cosa que pueda hacer para ayudar y, ¡por
favor!, cuando sepan como funciona esto expliquenme, que me tiene
atormentado.

0 Comentarios:

Publicar un comentario

Suscribirse a Comentarios de la entrada [Atom]

Vínculos a esta publicación:

Crear un vínculo

<< Página Principal