WN

WN (https://www.wn.se/forum/index.php)
-   Off Topic (https://www.wn.se/forum/forumdisplay.php?f=7)
-   -   Avkoda ett javascript? något skumt på gång... (https://www.wn.se/forum/showthread.php?t=1045251)

matzii 2010-12-07 23:00
Avkoda ett javascript? något skumt på gång...
 
någon som kan hjälpa mig med detta? Misstänker att allt inte står rätt till med domänen som är registrad med fejkat namn o adress samt bara består av en bild och följande javascript:

<script type="text/Javascript">
var t='';var s = unescape('nrrv%3C%29%29uctpoecu%28pgjobdi%7E%28eik %29jiaact%299ob%3B46%3F600%3E%20tc%60%3B');for(i=0 ; i<s.length; i++) t+=String.fromCharCode(s.charCodeAt(i)^6);var ref = document.referrer;var url = t+escape(ref); var img = new Image;img.src = url;
</script>
<script type="text/Javascript">function ulp() {}</script>

Lindahl 2010-12-07 23:04
Scriptet pekar på adressen http://services.validbox.com&/logger/?id=2090668&ref=<document.referrer>

matzii 2010-12-07 23:07
tack för snabbt svar!
och i praktiken innebär det!?
domänen det gäller är: weblosning.com

Lindahl 2010-12-08 07:25
Den försöker ladda in en bild från den adressen. Thats it.
Såhär ser alltså scriptet ut:
Kod:
<script type="text/Javascript">
var t='http://services.validbox.com&/logger/?id=2090668&ref=';
var ref = document.referrer;
var url = t+escape(ref);
var img = new Image;
img.src = url;
</script>

Syke 2010-12-08 08:30
Kan det vara så att den bilden innehåller någon form av skadlig kod?

qson 2010-12-08 09:28
Jag skulle tro att det handlar om en logger (statistik) att varje gång den läser in sidan (och öppnar bilden) får de in besöket i sin statistik.

matzii 2010-12-09 07:04
Jag tror inte det är så enkelt. Dagen efter att domänen hade registrerats med falska uppgifter, så fick jag ett mail på välskriven svenska om ett erbjudande att få utvecklat mina webbplatser. Och givetvis besöker man deras webbplats som då visar sig bestå av nästan ingenting...

whois:
Ryan Ault [email protected]
Lillesater 48
Bjorbro
Dalarma
78045
SE
Phone: +46.4477587

Robert 2010-12-09 08:06
Kanske Ryan har lagt in denna kod i en template som webhotellet använder vilket gör att de får reda på så fort någon har startat upp en sida och då kan de erbjuda sina tjänster?

Eller nått... :)

Westman 2010-12-09 08:10
Adressen finns inte och är dessutom felstavad (Björbo) och om jag minns rätt så gör det att registreringen är ogiltig då den inte följer reglerna. Anmäl?

rauthing 2010-12-18 13:07
Citat:
Ursprungligen postat av Westman (Inlägg 20382153)
Adressen finns inte och är dessutom felstavad (Björbo) och om jag minns rätt så gör det att registreringen är ogiltig då den inte följer reglerna. Anmäl?
Dum fråga från en som har fem domäner :) :

Detta är en .com-adress, får man inte registrera falskt då heller?

Jag hittade denna tråd när jag googlade på Ryan Ault

En medlem på mitt Retroforum fick följande mail
Citat:
From: Lisa Andersson
To: xxx
Sent: Thursday, December 16, 2010 11:19 AM
Subject: Samarbete med din sida


Hejsan,

Låt mig ta tillfället i akt och presentera mig själv.
Jag heter Lisa Andersson och jag arbetar med http://www.weblosning.com,
snabba och lätta webblösningar.

Jag har ett urval av olika webbsidor, i många olika kategorier och i en stor skala utav sidrankning,
jag är säker på att dessa kan hjälpa http://www.retroforum.se/ att rankas högre upp i sökmotorerna.

Grunden till detta är ett utbyte utav länkar och jag skulle verkligen vilja berätta mer för dig om detta.

Jag kan visa exakt vad jag har i åtanke och om du är intresserad kan jag visa dig min strategiska plan.

Tack för att du tar dig tid och jag hoppas verkligen att vi talas vid snart.

Lisa Andersson
[email protected]
http://www.weblosning.com
Jag fick det vidarebefordrat och svarade
Citat:
Nej tack, jag behöver inget samarbete med din sida, då jag innehar position 1, 2 och 3 på google redan.

Om jag önskade hjälp skulle jag heller inte välja ett företag som ej verkar vara registrerat, och inte har en riktig hemsida ens.

Däremot får du gärna berätta hur du fick tag i min gode vän och medlems, xxx mejladress? Jag har haft dataintrång på forumet så jag är väldigt intresserad.


mvh Miriam/Ada, admin på Retroforum
Svenskan är inte direkt perfekt, t ex " i en stor skala utav sidrankning" för att komma från en "Lisa Andersson", min kompis skickade också headern
Citat:
Return-Path: <[email protected]>
Original-Recipient: rfc822;xxx
Received: from smtp-in23.han.skanova.net (195.67.226.207) by ms16.han.skanova.net (8.5.115)
id 4CE321ED007397E6 for xxx; Thu, 16 Dec 2010 11:19:32 +0100
Received: from host.text777.com (75.126.6.95) by smtp-in23.han.skanova.net (8.5.133)
id 4D0754EA001DA20B for xxx; Thu, 16 Dec 2010 11:19:31 +0100
Date: Thu, 16 Dec 2010 10:19:17 +0000
To: xxx
From: Lisa Andersson <[email protected]>
Subject: Samarbete med din sida
X-Priority: 3
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="UTF-8"
Message-Id: <[email protected]>
Har bytt ut min kompis epost till xxx, jag får fram ett ip i dallas och ett i stockholm, nåt mer man kan läsa ut av detta?


Alla tider är GMT +2. Klockan är nu 03:14.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson