Dalamar Dword 6567614D
17.05.2005, 15:31
Захожу в очередной раз на форум, а тут какое-то окошко за экраном появилось, выполнило какой-то JS-код и исчезло.
Открыл я MSIE Spy и вижу вот это:
http://files.dalamardword.ru/arch/2005-05-17/uoo-forum-screen.png
Насторожило присутствие в логе адресов
h-t-t-p://69.50.172.171 (Не открывайте!)
и
h-t-t-p://69.50.172.171/submit (Не открывайте!),
а также адреса
h-t-t-p://ripe.net/fcgi-bin/whois?searchtext=GS655-RIPE&form_type=advanced
Смотрю реферрера для 69.50.172.171.
Им оказался такой урл:
http://217.16.26.60/banners/0000171/0000171486/0/index.html?html_params=rhost%3Dad.adriver.ru%26sid %3D33670%26bid%3D171486%26ar_ntype%3D4%26bn%3D0%26 width%3D468%26height%3D60%26target=_blank%26rnd%3D 967183657
Открытие этого урла я нашел вот тут:
http://ad.adriver.ru/cgi-bin/erle.cgi?sid=33670?target=blank?bt=1?pz=0?rnd=9671 83657
Для этого адреса реферрером был
http://ad.uoo.ru/cgi-bin/adcycle.cgi?gid=1&t=_blank&id=131&type=iframe
По предпоследнему урлу показывается случайный рекламный баннер.
Реферрер для ripe.net был пустым - каким-то образом смогли так сделать.
Вывод такой. Каким-то образом через сеть ad.adriver.ru кто-то смог выполнить на машинах юзеров некий код, возможно, собрать какие-то данные через сервер 69.50.172.171 и открыть в невидимом фрейме поисковый запрос к серверу ripe.net - возможно, таким образом накрутив какой-нибудь счетчик посетителей или еще что-нибудть...
Открыл я MSIE Spy и вижу вот это:
http://files.dalamardword.ru/arch/2005-05-17/uoo-forum-screen.png
Насторожило присутствие в логе адресов
h-t-t-p://69.50.172.171 (Не открывайте!)
и
h-t-t-p://69.50.172.171/submit (Не открывайте!),
а также адреса
h-t-t-p://ripe.net/fcgi-bin/whois?searchtext=GS655-RIPE&form_type=advanced
Смотрю реферрера для 69.50.172.171.
Им оказался такой урл:
http://217.16.26.60/banners/0000171/0000171486/0/index.html?html_params=rhost%3Dad.adriver.ru%26sid %3D33670%26bid%3D171486%26ar_ntype%3D4%26bn%3D0%26 width%3D468%26height%3D60%26target=_blank%26rnd%3D 967183657
Открытие этого урла я нашел вот тут:
http://ad.adriver.ru/cgi-bin/erle.cgi?sid=33670?target=blank?bt=1?pz=0?rnd=9671 83657
Для этого адреса реферрером был
http://ad.uoo.ru/cgi-bin/adcycle.cgi?gid=1&t=_blank&id=131&type=iframe
По предпоследнему урлу показывается случайный рекламный баннер.
Реферрер для ripe.net был пустым - каким-то образом смогли так сделать.
Вывод такой. Каким-то образом через сеть ad.adriver.ru кто-то смог выполнить на машинах юзеров некий код, возможно, собрать какие-то данные через сервер 69.50.172.171 и открыть в невидимом фрейме поисковый запрос к серверу ripe.net - возможно, таким образом накрутив какой-нибудь счетчик посетителей или еще что-нибудть...