dotaz k javascriptu

[daysleeper]

Ahoj,

tuhle jsem se dival do nitra svych oblibenych stranek, jake pouzivaji skripty, jestli tam neni neco podezreleho (jsem ale js amater). vsechno vypadalo OK, jen jsem narazil na tento divny kousek

Kód: [Vybrat]

<script type="text/javascript">
document.write('<SCR'+'IPT src="http://rts.phn.doublepimp.com/Publishers/56c976c1dc.js?random='+Math.floor(89999999*Math.random()+10000000)+'&millis='+new Date().getTime()+'" language="JavaScript" type="text/javascript"></SCR'+'IPT>');
</script>zda se, ze se to snazi stahnout skript, v jehoz adrese se posle nahodne cislo + aktualni cas; pokud se pripojim na dany server, stranka existuje, ale dokument ma delku 0. ma nekdo napad, proc by tohle nekdo delal? jaky by to mohlo mit ucel? pouzivat na tracking vzdy nove nahodne cislo je divne. take je zajimave, ze to maskuje slovo SCRIPT pomoci 'SCR'+'IPT' apod, proto to pritahlo mou pozornost.

diky

[starenka]

Pokud delas neco jako document write a pak radoby obfuskujes kod, vetsinou snazis se vetsinou vyhnout necemu, co js filtruje. To za otaznikem se zase vetsinou pouziva, kdyz mas pred serverem jeste proxy a potrebujes nasilne donutit lidi, aby se jim stahla nova verze souboru. Co to znamena dohromady, nebo k cemu to ma bejt dobry, to ti fakt nepovim Mozna z kontextu - tipoval bych to na porno stranky, nebo tak neco ...

[daysleeper]

tip je spravny , ale jak pisu, tento konkretni odkaz nic nestahne 

proc by se to ale snazilo obfuskovat slovo "SKRIPT", kdyz je to stejne v tagach <script type="text/javascript"></script>, a tudiz lehce filtrovatelne, to je to, co prave nechapu... stejne tak posilani requestu s nahodnym cislem... asi to ale nebude nic nebezpecneho...

[starenka]

To neni tak uplne pravda, muze to pomoct obejit filtr, kterej blokuje javascript v atrib src="" a jde jen po souborech. Ten js si prihodi do dokumentu po nacteni dalsi javascript. Proc se za otaznik pridava string uz jsem ti rikal (obchazeni cache). Obfuskovani tagu se vetsinou pouziva pri csrf/xss  a naslednym napojenim xss shellu/tunelu. Na nejakejch lacinejch pornostrankach nebo warezu celkem bezna praktika.

ps. mozna jsem uplne vedle a ma to nejakej genialni smysl, kterej mi unika

[mka]

Ono ovšem použití tagu script uvnitř tagu script je poněkud podezřelé a zřejmě proto se to takhle snaží maskovat.
Typický případ, kdy se nějaký prevít dostane k heslu ftp, např. z MC a zasyflí celej sajt. Osobně bych tu stránku okamžitě přestal považovat za oblíbenou.

[Martin Šácha]

Ten odkazovaný javascript vůbec nemusí být javascript, tipoval bych to spíš na PHP script, který samozřejmě nic vracet nemusí, klavně že si tě připsal do db...

Koncovka *.js tomu vůbec nevadí, PHP server prohledá všechny odchozí soubory - viz generování obrázků *.jpg, png,...

[starenka]

Ten odkazovaný javascript vůbec nemusí být javascript, tipoval bych to spíš na PHP script, který samozřejmě nic vracet nemusí, klavně že si tě připsal do db...

Koncovka *.js tomu vůbec nevadí, PHP server prohledá všechny odchozí soubory - viz generování obrázků *.jpg, png,...

V lepsim pripade je to jen hit do db, v horsim pripade je tam, jak uz jsem psal, BeEF nebo podobny srandicky...

[Martin Šácha]

Ten odkazovaný javascript vůbec nemusí být javascript, tipoval bych to spíš na PHP script, který samozřejmě nic vracet nemusí, klavně že si tě připsal do db...

Koncovka *.js tomu vůbec nevadí, PHP server prohledá všechny odchozí soubory - viz generování obrázků *.jpg, png,...

V lepsim pripade je to jen hit do db, v horsim pripade je tam, jak uz jsem psal, BeEF nebo podobny srandicky...

To co ten script dělá se stejně nedozvíme, může ještě zkusit wireshark (a "web console" v FF4), ale pochybuju že zjistí něco nového...

[daysleeper]

diky moc, pohrabu se v tom, ale protoze jsem v tom amater, bude to chvili trvat, ozvu se pripadne s poznatky...

jinak ta cast kodu je oznacena jako ADCODE BLOCK

Kód: [Vybrat]

<!-- THE FOLLOWING /DIV CLOSES THE 18 VERIFICATION IN HEADER  -->
<!-- BEGIN ADCODE BLOCK -->
<zde je ten js...>

<!-- END ADCODE BLOCK -->ale nemusi to byt samozrejme pravda, po zablokovani dane domeny zadna viditelna reklama ze stranky nezmizi...

[mka]

Pokud to není tvůj web, tak bys mohl napsat adminovi.
Pokud je tvůj, tak si hodně rychle změň všechna hesla (ftp, db, ...) a pak tam nahraj ze zálohy "čisté" skripty (php, js, ...).

[daysleeper]

tak jsem se na to mrkl pres wireshark a podle meho nazoru to jen pocita hity; pouzitim "no-cache", nahodneho cisla a epoch_time se zaruci jedinecnost

Kód: [Vybrat]

16 8.709629 10.10.10.213 208.70.73.182 TCP 35809 > http [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=3343065 TSER=0 WS=6
17 8.883352 208.70.73.182 10.10.10.213 TCP http > 35809 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1380 TSV=3131472899 TSER=3343065 WS=10
18 8.883391 10.10.10.213 208.70.73.182 TCP 35809 > http [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=3343108 TSER=3131472899
19 8.883550 10.10.10.213 208.70.73.182 HTTP GET /Publishers/56c976c1dc.js?random=25795916&millis=1291756142744 HTTP/1.1
20 9.057600 208.70.73.182 10.10.10.213 TCP http > 35809 [ACK] Seq=1 Ack=396 Win=7168 Len=0 TSV=3131473073 TSER=3343108
21 9.059206 208.70.73.182 10.10.10.213 HTTP HTTP/1.1 200 OK
22 9.059244 10.10.10.213 208.70.73.182 TCP 35809 > http [ACK] Seq=396 Ack=238 Win=6912 Len=0 TSV=3343152 TSER=3131473075
je mozne, ze k obfuskaci sahli proto, aby se obesel pripadny ad-block; kdyz totiz danou domenu ve FF zablokuju, vypis pak vypada sice jen takto

Kód: [Vybrat]

451 5.950377 10.10.10.213 208.70.73.182 TCP 35507 > http [FIN, ACK] Seq=1 Ack=1 Win=108 Len=0 TSV=3567168 TSER=3132299326nicmene na zaznamenani hitu by to melo stacit. soudim tak z toho, ze kdyz prikladne na strance, kterou vidite, zablokuju pres FF adblock prilozany.cz, ve vypise wiresharku se dana domena (resp. IP) vubec neobjevi...

jo, a diky za starost, ale pokud by ty stranky byly me, asi bych nemel tyto prizemni starosti