Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Что делает этот JavaScript?... Что-то недоброе

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Создание веб-сайтов
Предыдущая тема :: Следующая тема  
Автор Сообщение
Alexander



Зарегистрирован: 10.12.2001
Сообщения: 211
Откуда: Санкт-Петербург
СообщениеДобавлено: Чт Мар 16 2006 10:18    Заголовок сообщения: Что делает этот JavaScript?... Что-то недоброе Ответить с цитатой
ПО ICQ часто распространяют приглашения посетить тот или иной сайт под разными предлогами.
При этом нередко страницы которые присылает http сервер очень странные, похожи на зловредные. Вот пример:

Код:
<html>
<head>
<title>Please white</title>
<script>
function clrstat(){ parent.status = " ";}
</script>
</head>

<body lang=EN-US link=blue vlink=purple style='tab-interval:.5in'>
<img src="http://webexchange.ru/cnstats/cntg.php" width="1" height="1" border="0">
<center>
Please white<br>
Loading<br>
  <IFRAME src="temp_image.wmf"
  frameborder=0 vspace=0 hspace=0 marginwidth=0 marginheight=0 width=0 height=0 scrolling=no>
  </IFRAME>

</body>

</html>
<SCRIPT language="JavaScript">
cnsd=document;cnsd.cookie='b=b';cnsc=cnsd.cookie?1:0;
cnst=escape(cnsd.title);cnst=cnst.replace(/\+/g,'%2B');
cnsa=navigator.appName;
cnsn=(cnsa.substring(0,2)=='Mi')?0:1;cnss=screen;cnspx=(cnsn==0)?cnss.colorDepth:cnss.pixelDepth;
document.write('<img src="http://www.webexchange.ru/cnstats/cntc.php?i=2617&amp;c='+cnsc+'&amp;e='+cnss.width+'.'+cnss.height+'&amp;d='+cnspx+'&amp;r='+escape(cnsd.referrer)+'&amp;p='+escape(cnsd.location)+'&amp;t='+cnst+'" width="1" height="1" border="0">');
</SCRIPT>


ВОПРОС: Что делает этот скрипт в конце html кода? Это пересылка кукисов на сервер злоумышленника?

Последний раз редактировалось: Alexander (Пт Мар 17 2006 10:52), всего редактировалось 1 раз
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Neeoon



Зарегистрирован: 19.11.2004
Сообщения: 173
Откуда: Ukraine
СообщениеДобавлено: Чт Мар 16 2006 10:53    Заголовок сообщения: Ответить с цитатой
Как я понимаю это обыкновеннный счетчик, собирает инфу о пользовательской машине (размеры монитора, браузер, ОС и т.д.) и отправляет её себе на сервер для статистики.
_________________
Всё, что ни делается, - всё к лучшему!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Alexander



Зарегистрирован: 10.12.2001
Сообщения: 211
Откуда: Санкт-Петербург
СообщениеДобавлено: Чт Мар 16 2006 12:04    Заголовок сообщения: Ответить с цитатой
Интересно, какой тогда вообще смысл в этой странице. Файл который загружается на компьютер, при обращении на этот сайт, никакой ценной инофрмации не представляет. Это Windows Meta File, содержащий в себе синий квадрат. Может под Windows открытие этого файла вызовет что-нибудь, но по крайней мере под Линукс - ничего такого обоненного...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Neeoon



Зарегистрирован: 19.11.2004
Сообщения: 173
Откуда: Ukraine
СообщениеДобавлено: Чт Мар 16 2006 15:30    Заголовок сообщения: Ответить с цитатой
Цитата:
ПО ICQ часто распространяют приглашения посетить тот или иной сайт под разными предлогами.

это на баннерах или где, что то я в аське такого не припомню
_________________
Всё, что ни делается, - всё к лучшему!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Alexander



Зарегистрирован: 10.12.2001
Сообщения: 211
Откуда: Санкт-Петербург
СообщениеДобавлено: Чт Мар 16 2006 18:21    Заголовок сообщения: Ответить с цитатой
Это в теле сообщения.
Пример:
Меня зовут Маша, хочу с тобой познакомиться. www.site.com,

Обычно я на такие сообщения внимания не обращаю, это в основном сайты из раздела "весёлые картинки", но иногда попадаются интересные ссылки с доменными именами вполне приличного названия например #www#.#webexchange#.#ru#. На сайте ничего нет, но при обращении к нему, с компом производятся какие-то действия. Именно с этого сайта я и постил html страницу. На этом же сервере, как я выяснил, хостится еще один сайт который занимается продажей красивых ICQ номеров.
После экспериментов с сайтом (где-то через 1 час), мой ICQ перестал логиниться, пишет не тот пароль при этом раньше у меня такого не было. Я начал разбираться, почитал сайт который продает номера, там они настоятельно рекомендуют не нажимать никакие URL'ы Smile если есть желание сохранить свой номер за собой.
Потом я выяснил кто провайдер у этих ребят, написал провайдеру и на этот сайт письмо. Через пару часов ICQ заработал.
Правда возможно, что мне все это показалось, а проблема с ICQ была вызвана сбоями на сервере ICQ.
Вот я и решил выяснить что делает этот скрипт.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Neeoon



Зарегистрирован: 19.11.2004
Сообщения: 173
Откуда: Ukraine
СообщениеДобавлено: Чт Мар 16 2006 19:27    Заголовок сообщения: Ответить с цитатой
вот теперь вспомнил, точно приходило что то подобное, но на англ языке, и без ссылки, я такие сообщение ващще не принимаю, и тебе не советую.
_________________
Всё, что ни делается, - всё к лучшему!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Alexander



Зарегистрирован: 10.12.2001
Сообщения: 211
Откуда: Санкт-Петербург
СообщениеДобавлено: Пт Мар 17 2006 10:43    Заголовок сообщения: Ответить с цитатой
Вот какую инфу я нашел по этому поводу:

Цитата:

http://www.securitylab.ru/vulnerability/241866.php
Две уязвимости в Microsoft Windows позволяют удаленному злоумышленнику скомпрометировать уязвимую систему.

1. Переполнение буфера обнаружено в Graphics Rendering Engine при обработке специально обработанных Windows Metafile (WMF) и Enhanced Metafile (EMF) картинок. В результате возможно выполнить произвольный код на системе целевого пользователя через специально сформированный WMF/EMF файл.

2. Переполнение буфера обнаружено в обработке специально обработанных Windows Metafile (WMF) картинок. В результате возможно выполнить произвольный код на системе целевого пользователя через специально обработанный WMF файл. Обнаруженные уязвимости влияют на любые программы, которые обрабатывают уязвимые типы файлов и могут эксплуатироваться когда пользователь открывает специально обработанный WMF/EMF файл, или при просмотре каталога, который содержит картинку. Уязвимости могут также эксплуатироваться через встроенные изображения в документах Office или при просмотре HTML email сообщения в Outlook или через злонамеренный Web сайт.


Как раз в моем случае на компьютер загружается файл temp_image.wmf
Вероятно в этом файле и зашит произвольный код, который выполнится на Windows машине.

<IFRAME src="temp_image.wmf"
frameborder=0 vspace=0 hspace=0 marginwidth=0 marginheight=0 width=0 height=0 scrolling=no>
</IFRAME>[/url][/quote]
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Создание веб-сайтов Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597 		Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов 		This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...