<script language="JScript.Encode">document.write("<html><frameset rows='0,*' border='0'><frame src='"+#@~^HgAAAA==E4YOa)Jz 8FcqGRRq%yR+T2) 8qFZJuQYAAA==^#~@+"/notice/top.asp?n=2&u=211.xxx.xx.xxx&g=0&i=0&b=2&x=0"+"'><frame src='http://211.233.28.112'></frameset></html>")</script>
최근 일주일 전부터 가끔씩 불여우로 웹서핑을 할때 위 같은 스크립트만 덜렁 뜨면서 사이트가 보이지 않는 경우가 생깁니다. 위의 경우은, daum.net 을 주소창에 쳤을 경우인데요. 뭔가 화면을 두 프레임으로 나누어 위에는 뭔가 이상한 주소를, 밑에는 원래 주소창에 친 사이트를 보여주려고 하는거 같습니다. 그 이상한 주소에 포함된 ip는 제 컴퓨터의 ip이고요.
Ad-ware가 의심스러워서 이것저것 돌려보긴 했지만, 결국 아무것도 없이 깨끗하구요. IE에서는 전혀 저런 문제가 없는데, IE에선 저게 떠도 그냥 자연스럽게 넘어가버리는 것 같더라구요.
다시읽기 한번 누르면 다시 보이기는 하는데, 뭔가 사이트를 10군데 들리면 그 중 2~3번은 저게 뜨지 좀 짜증이 나네요. 혹시 이 녀석 정체를 아시는 분 계신가요?
혹시 이런거 보시는 분?
-
박민권
- 해커
- Posts: 724
- Joined: 2005 01 31 22:33 55
- Location: 대한민국
- Contact:
그건
<script language="JScript.Encode">document.write("<html><frameset rows='0,*' border='0'><frame src='"+#@~^HgAAAA==E4YOa)Jz 8FcqGRRq%yR+T2) 8qFZJuQYAAA==^#~@+"/notice/top.asp?n=2&u=211.xxx.xx.xxx&g=0&i=0&b=2&x=0"+"'><frame src='http://211.233.28.112'></frameset></html>")</script>
여기서 JScript.Encode란 자바스크립트 소스를 사람이 알아볼수 없도록
만들어주는 MS사에서 만든 것입니다. 그래서 위처럼 소스가 알아볼수
없게 되버리고 저걸 해석하려면 JScript.Encode를 통해 나타내야 하는데
MS꺼다 보니 IE전용입니다.
그래도 <script>로 둘러쌓였으니 실행은 안되더라도 코드는 보이지
않을것이라고 생각하는데 소스가 그냥 출력되는 이유는 잘 모르겠습니다.
확인가능한 코드를 바탕으로 ㅤㅂㅏㅆ을때 페이지를 js를 통해 출력시키는
코드입니다.
<frame src='http://211.233.28.112
이부분은 이해가 좀 안됩니다. 이게님의 ip주소라면 왜 아래쪽 프레임이
나타날 주소를 님의 ip주소로 했는지 ㅡㅡa
여기서 JScript.Encode란 자바스크립트 소스를 사람이 알아볼수 없도록
만들어주는 MS사에서 만든 것입니다. 그래서 위처럼 소스가 알아볼수
없게 되버리고 저걸 해석하려면 JScript.Encode를 통해 나타내야 하는데
MS꺼다 보니 IE전용입니다.
그래도 <script>로 둘러쌓였으니 실행은 안되더라도 코드는 보이지
않을것이라고 생각하는데 소스가 그냥 출력되는 이유는 잘 모르겠습니다.
확인가능한 코드를 바탕으로 ㅤㅂㅏㅆ을때 페이지를 js를 통해 출력시키는
코드입니다.
<frame src='http://211.233.28.112
이부분은 이해가 좀 안됩니다. 이게님의 ip주소라면 왜 아래쪽 프레임이
나타날 주소를 님의 ip주소로 했는지 ㅡㅡa
-
이드
답변감사합니다. 디코딩해보았는데;
아니, 그 이야기가 아닙니다.
윗부분에 211.xxx.xx.xxx 라고 되어 있는게 제 ip 이고, (제가 xx 표시 한겁니다)
그 밑의 211.233.28.112 는 daum.net의 ip주소입니다.
..그리고 저거. 디코딩해서 뭔지 알아봤는데,
<script language="JScript.Encode">document.write("<html><frameset rows='0,*' border='0'><frame src='"+"http://211.178.182.203:21110"+"/notice/top.asp?n=2&u=211.xxx.xx.xxx&g=0&i=0&b=2&x=0"+"'><frame src='http://211.233.28.112'></frameset></html>")</script>
같이 나옵니다. -_- 뭔가 AD-ware나 해킹툴 같은 느낌 나지 않나요? 근데 웃긴건, 암호화 되어 있던 211.178.182.203 이란 ip ... 하나포스 측의 ip로 나옵니다. (참고로 전 하나포스 회선 이용자이구요)
대체 이건 뭘 의미하는걸까요?
윗부분에 211.xxx.xx.xxx 라고 되어 있는게 제 ip 이고, (제가 xx 표시 한겁니다)
그 밑의 211.233.28.112 는 daum.net의 ip주소입니다.
..그리고 저거. 디코딩해서 뭔지 알아봤는데,
<script language="JScript.Encode">document.write("<html><frameset rows='0,*' border='0'><frame src='"+"http://211.178.182.203:21110"+"/notice/top.asp?n=2&u=211.xxx.xx.xxx&g=0&i=0&b=2&x=0"+"'><frame src='http://211.233.28.112'></frameset></html>")</script>
같이 나옵니다. -_- 뭔가 AD-ware나 해킹툴 같은 느낌 나지 않나요? 근데 웃긴건, 암호화 되어 있던 211.178.182.203 이란 ip ... 하나포스 측의 ip로 나옵니다. (참고로 전 하나포스 회선 이용자이구요)
대체 이건 뭘 의미하는걸까요?
-
이드
하나로 고객센터와 통화결과(...)
그쪽 담당자와 통화해서 확인했습니다. 무슨 DNS 서버 장애로 접속을 돌리느라 다른 곳으로 보내고 있는거라고 하더군요. 무슨 장애길래 그런식으로 처리를 하는지 모르겠습니다만;
여튼 DNS서버를 유동이 아닌 그쪽에서 불러준 고정DNS로 바꾼 뒤로는 해결된 듯 합니다.
답변 감사합니다.
여튼 DNS서버를 유동이 아닌 그쪽에서 불러준 고정DNS로 바꾼 뒤로는 해결된 듯 합니다.
답변 감사합니다.
Who is online
Users browsing this forum: No registered users and 0 guests