[mow]

Çağırdığı javascriptlerin içerisinde anlayabildiğim kadarı ile "adodb.stream" ile bir vbs yaratıyor ve bunu çalıştırıyor, yok adodb.stream ile yapamazsa real player, storm player, glavatar (çince chat programıymış) ve bir tanede video on demand yazılımı gibi açıkları bilinen programların varlığını kontrol edip ona göre bir şeyler yapıyor (birinde küfür var mesela çince f..k y.u )

soul daha iyi biliyor bu konuları, işin içinde, %99 böyle bir açığın vardır, ama ben %1 olarak düşünüyorum ki sen veya bir yönetici sunucudan bu js nin hali hazırda var olduğu bir siteye girdiniz ve sunucuya bulaştırdınız, o nedenle sordum storm player - stream ile ilgin var mı diye.

Aşağıya js linklerini veriyorum IE kullananlar kesin tıklamasın;

Spoiler:

ilk js -> http://www.cnblogs.com/mqingqing123/...0/1191052.html
son çağırılan js/vbs -> http://ii.jtren.net/14.htm

Hatırladığın en son saldırıdan sonra inetpub veya herneyse, onun içerisinde, yeni yaratılmış veya değiştirilmiş dosyaları arayıp, bilmediğin/şüphelendiğin bir dosya var mı bakar mısın? Çünkü bu js/vbs ile bir dosya oluşturduğunu ve bu dosya üzerinden SQL servera giriş yaptığını düşünüyorum.

soul acaba çok saçma mı bu düşüncem? öyleyse başka şeylere kafa yormak istiyorum