Да не верно он говорит, «Оверсан должен был заранее (за три месяца минимум) дать широкой публике знать, что у него есть проблемы с Макхостом.»
Во первых — не должен, во вторых тогда бы макхост точно бы орал «денех неть потому-что вы распугали всех клиентов», в третьих и сам оверсан даже сейчас мог ничего не говорить и седел бы макхост в луже со «своими датацентрами» и конечно же сразу начал бы вещать о коварном и ужасном датацентре, который просто взял и отрубил.
Да оверсан вообще мог ничего не говорить, что он вообще отношение имеет к макхосту.
И тогда бы все стрелки пошли бы на макхоста с «его собственными» дата-центрами.
Не покушайтесь на эксель, у нас в стране с помощью его DLL файлы сравнивают и вершат правосудие!
Так, что он способен на такие вещи, о которых микрософт даже и подумать не мог.
На самом деле все просто.
Вы мне в ЛС дали тот запрос на яндекс, я просмотрел ссылки которые он выдал.
Первый же результат вел на страницу которая заражена, достаточно было внимательно просмотреть код
на предмет подозрительных iframe / javascript, как всегда нужный iframe очень «непалевный» :)
Далее, по этому урлу стоит судя по всему траффик распределительная система (TDS), она проверяет насколько жертва им подходит (страну, браузер), и если все «окей», то перекидывает на эксплоит.
Мне лично она сразу выдала 403, ну чтож делать, берем прокси, ставим User Agent — IE6, и вперед :) редиректит нормально, кидает на страницу с таким кодом:
А это ни что иное, как кодированный код эксплоитов с использованием JS.
А код довольно интересный, вот сейчас его и разбираю…
Нашел, на последней странице которую вы мне скинули — фрейм на trfista.info, судя по виду фрейма, это то что я искал. Сейчас разберу эксплоиты и то что там в связке.
Norhrop N-9M
Northrop YB-49
Во первых — не должен, во вторых тогда бы макхост точно бы орал «денех неть потому-что вы распугали всех клиентов», в третьих и сам оверсан даже сейчас мог ничего не говорить и седел бы макхост в луже со «своими датацентрами» и конечно же сразу начал бы вещать о коварном и ужасном датацентре, который просто взял и отрубил.
И тогда бы все стрелки пошли бы на макхоста с «его собственными» дата-центрами.
Оверсан:
Клиенты макхоста:
Хабр:
Я:
Достаточно было объяснить принцип работы кряка и пару его скринов.
Эти люди живут в параллельной реальности…
Так, что он способен на такие вещи, о которых микрософт даже и подумать не мог.
Вы мне в ЛС дали тот запрос на яндекс, я просмотрел ссылки которые он выдал.
Первый же результат вел на страницу которая заражена, достаточно было внимательно просмотреть код
на предмет подозрительных iframe / javascript, как всегда нужный iframe очень «непалевный» :)
Далее, по этому урлу стоит судя по всему траффик распределительная система (TDS), она проверяет насколько жертва им подходит (страну, браузер), и если все «окей», то перекидывает на эксплоит.
Мне лично она сразу выдала 403, ну чтож делать, берем прокси, ставим User Agent — IE6, и вперед :) редиректит нормально, кидает на страницу с таким кодом:
А это ни что иное, как кодированный код эксплоитов с использованием JS.
А код довольно интересный, вот сейчас его и разбираю…
Как то сомнительно, что фрейм с параметрами 0,0 на ссылку.
http://****.**/for.cgi?trafmlp (это ссылка на связку или TDS, где trafmlp идентификатор «поставщика» траффика) может быть чем то невинным.