Der obige Code schreibt einen Code, der den Code auf der russischen Seite aktiviert ( Ссылка ), das ein unsichtbares DIV mit einem iFrame hinzufügt, von dem ich annehme, dass es ein Bild eines Welpen enthält.
___ answer3024140 ___
Wenn ich bedenke, dass ich diese Seite nicht einmal in Windows laden konnte, weil mein AV mich davon abgehalten hat, ja, es ist ein Virus.
___ tag123javascript ___ JavaScript (nicht zu verwechseln mit Java) ist eine dynamische Sprache mit mehreren Paradigmen auf hoher Ebene, die sowohl für das clientseitige als auch für das serverseitige Scripting verwendet wird. Verwenden Sie dieses Tag für Fragen zu ECMAScript und seinen verschiedenen Dialekten / Implementierungen (außer ActionScript und Google-Apps-Script).
___ tag123security ___ Themen in Bezug auf Anwendungssicherheit und Angriffe auf Software. Bitte verwenden Sie dieses Tag nicht alleine, da dies zu Mehrdeutigkeiten führt.
Wenn es sich bei Ihrer Frage nicht um ein spezielles Programmierproblem handelt, können Sie es stattdessen bei Information Security SE anfordern: https://security.stackexchange.com
___ tag123expressionengine ___ ExpressionEngine ist ein kommerzielles Content-Management-System, das in PHP geschrieben ist. Die meisten ExpressionEngine-Fragen werden in der ExpressionEngine StackExchange besser gestellt, es sei denn, sie betreffen die Entwicklung (z. B. die Entwicklung von Erweiterungen in PHP).
___ qstntxt ___
Ich habe die Website meines Kunden letzte Woche auf die Standards xHTML Strict 1.0 / CSS 2.1 überprüft. Heute, als ich es erneut überprüft habe, hatte ich einen Validierungsfehler, der durch ein merkwürdiges und vorher unbekanntes Skript verursacht wurde. Ich habe das in der index.php Datei meines ExpressionEngine CMS gefunden. Ist das ein Hacker-Versuch, wie ich vermutet habe? Ich konnte nicht anders, als die russische Domain zu bemerken, die im Skript kodiert ist ...
Was macht dieses Javascript? Ich muss meinem Kunden die spezifischen Gefahren erklären.
%Vor%
___ answer3019432 ___
Das Skript fügt Ihrem abschließenden Body-Tag im Prinzip die folgende Zeile hinzu:
%Vor%
Es versucht also, ein externes Skript auf Ihre Site zu laden. Ich bin mir nicht sicher, was dieses Skript macht - aber ohne Zweifel ist es nichts Nettes.
Darüber hinaus zeigt eine schnelle Suche nach "towersky.ru" bei Google Listen von bösartigen Websites, die diese Website enthalten.
___ answer3019366 ___
Ja. Die Website wurde kompromittiert.
Was Sie tun müssen, ist:
- Stellen Sie sicher, dass jeder, der Zugriff auf diese Kennwörter hatte, einen aktualisierten Virusscan auf Computern ausführt, von denen er sich möglicherweise bei der Site angemeldet hat.
- Stellen Sie sicher, dass Sie alle Anmelde- und Administratorkennwörter ändern.
- Wenn möglich, sollten Sie wahrscheinlich zur Codebasis zurückkehren, so wie sie vor Ihnen aufgetreten ist.
- Überprüfen Sie die Änderungszeit des Skripts, in dem Sie dieses Snippet gefunden haben (wenn es nicht zu spät ist), und suchen Sie nach anderen Dateien, die zu diesem Zeitpunkt geändert wurden. Das Skript wird wahrscheinlich zufällig generiert, so dass das Greifen nach Teilen davon wahrscheinlich nicht schlüssig ist.
Wenn dieses Skript seinen Weg finden konnte, dann auch andere. Es ist nicht ungewöhnlich, dass Websites durch Keylogging-Trojaner auf den Computern derjenigen manipuliert werden, die sich an ihnen anmelden.
Siehe Ссылка
___