ioz.bsky.social
He crecido a la sombra de Stallman y el software libre, y la oportunidad de la informática de crear el mundo nuevo que los yuppies de los ochenta habían torcido.
Informático mercenario, en realidad me flipa la música.
No puedo, tengo ensayo.
793 posts
224 followers
734 following
Regular Contributor
Active Commenter
comment in response to
post
Mae mia es ver las fotos y visualizar perfectamente a los Pantomima Full owneando los sitios xD
comment in response to
post
buen punto...
querido @pbustinduy.bsky.social ya se que estás con mil cosas, pero si en esto también tienes mano, porfa una de guantá con la mano abierta estaría guay
comment in response to
post
Ahora, encuentra tú dónde coño mandar esta información para que solucionen el problema o al menos para que sean conscientes de ello... a [email protected] ...
luego que "ES QUE LOS JAQUERS"
comment in response to
post
También he visto que esta librería carga contenido distinto dependiendo si ha saltado el captcha de cloudflare o no - cuando carga el website, la libreria se camufla como la original - es sólo cuando salta el captcha de cloudflare cuando carga funcionalidad adicional
comment in response to
post
también veo esa forma "peculiar" de escribir powershell en otra línea
'LgSPo': 'POWeRSHell' + _0x57c682(0x1277, 0x1346, 0x1582, 0xf25)
pues ya podemos establecer el origen del problema
comment in response to
post
con esa forma de intentar evitar scanners de seguridad separando la última letra
comment in response to
post
y viendo el código del javascript que viene del sitio "sospechoso" veo un "execCommand" que no debería estar ahí.. por ejemplo sirve para copiar texto al clipboard (que es una de las cosas que hace este ataque)
return _0x4b1d52['execComman' + 'd'](_0x941cdd['ISlWt']);
comment in response to
post
El dominio es de apenas hace 3 semanas
comment in response to
post
podemos ver que efectivamente la última versión es la 4.8.1
si descargamos la versión 'min' (minified) y la comparamos con la de "simonvelasquez", de momento vemos que el tamaño es distinto, lo que ya da que pensar
comment in response to
post
con lo cual tenemos aquí un caso de "librería común, pero modificada para hacer el mal" - NUNCA instaléis librerías que no vengan de un origen certificado, incluso así, pueden estar comprometidas!!
Sigamos
en socket.io/docs/v4/clie...
comment in response to
post
De ese script, lo primero que llama la atención es que las primeras líneas son
/*!
* Socket.IO v4.8.1
* (c) 2014-2024 Guillermo Rauch
* Released under the MIT License.
*/
que nos dice que la librería original es esta
github.com/rauchg/Socke...
comment in response to
post
y viendo las llamadas de red que se realizan en este proceso, confirmamos que ese javascript se carga para mostrar esa "verificación adicional"
comment in response to
post
Esta verificación se genera por código malvado, volvemos a la teoría anterior, de que alguien ha inyectado código en el wordpress de algún modo
En el HTML veo una url que me resulta sospechosa
<script src="https://simonvelasquez.pw/cdn/socket.min.js" id="asahi-jquery-min-bundle-js"></script>
comment in response to
post
pero al pulsar en la checkbox, en lugar de mostrar la página de visit-cullera (que sé que es la legítima porque la muestra brevemente antes de cargar el captcha), me muestra la "verificación adicional"
comment in response to
post
la primera pantalla es la legítima de cloudflare
comment in response to
post
De momento, más detalle sobre el "malvertising"
www.itpro.com/security/368...
comment in response to
post
así que en algún punto entre los resultados de google y la web legítima, se ha colado un elemento intermedio que ha pusheado la página malvada
probablemente un malvertising? (anuncios pagados que contienen el código malicioso)
si consigo reproducirlo seguiré investigando...
comment in response to
post
y bueno mientras estaba revisando esto, "se ha evaporado" este funcionamiento al mismo tiempo que ha dejado de presentar el captcha de cloudflare, asi que sospecho que venía todo en el pack, según esto
www.securityweek.com/clickfix-att...
comment in response to
post
ya puedo confirmar que tenemos un wordpress por ahí detrás, alojado en un apache
comment in response to
post
que así sin revisarlo, diría que es una web sobre un wordpress, en la que alguien ha encontrado un agujero y ha metido su script tóxico
de momento el certificado es autogenerado (letsencrypt)
comment in response to
post
en mi caso ha sido al caer en visit-cullera.es, que parece un dominio legítimo (pertenece al ayuntamiento de cullera y lo gestiona Acens)
comment in response to
post
que ejecuta (iex) en una ventana oculta (-w) un script remoto de daniel-poldindev.info, sitio que de por sí llama la atención y que no es buena idea visitar
comment in response to
post
Hay "medios" en España que no llegan ni a "cuartos", posiblemente ni a "octavos"
comment in response to
post
Pues hay críticas útiles y criticas sin fundamento, yo creo que eso debería tener más peso que el hecho de que haya críticas o no
Es como "bueno pues ya he hecho el exámen".. ya, vale, paso necesario, pero tendrás que aprobarlo también, no?
comment in response to
post
también te digo, venimos de un pasado que ha generado que prácticamente TODO lo que existe sea similar al PSOE o mucho peor - eso es lo que intentamos cambiar, sólo hemos calculado mal la magnitud (y la bofetada con la mano abierta que tienen tantos y tantos.. )
comment in response to
post
tristemente no da tantos likes como repostear una opinion ajena
comment in response to
post
Lol, mismo pensamiento 😃
comment in response to
post
Jose tampoco conoce los signos de puntuación
comment in response to
post
Claro, no leen ni la etiqueta del champú, y lo de la "proporcionalidad" pues se les da regular
comment in response to
post
y espérate que se vuelen el típico día que te cierra el retiro porque hay viento..