Forum PHP.pl

Witam.
Na swoich stronach doświadczyłem ataku na pliki JavaScript. Jakieś 95% tych plików zostało zamienionych na taki kod:

[PHP] pobierz, plaintext 
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('6 r=C B({4:{g:1l,a:\'15\',m:X,c:{d:[\'J\',\'H\'],A:B.1b}},18:5(3,4){2.10(4);2.q=$(3);2.q.T(\'R\').j(5(3){3.O({\'M\':2.p.t(2,3),\'1k\':2.w.t(2,3)})},2)},p:5(3){$1i(3.z);7(!3.1a(2.4.a)){3.17(2.4.a);6 9=3.v(\'9\');7(9){7(2.4.g)9.g({J:14});9.c(2.4.c)}3.F().j(5(G){G.s(2.4.a)},2)}},w:5(3){3.z=(5(){3.s(2.4.a);6 f=3.v(\'f\');7(f)f.Z()}).m(2.4.m,2)}});r.Y(C W);V.S({c:5(b){7(!2.k){2.k=2.Q(b.A);2.h=2.P.N(2,b.d);2.l={};U(6 i L 2.h)2.l[i]=0}7(b.d.x(\'H\')||b.d.x(\'K\')){2.E(\'D\',\'1j\');2.u(\'9\').j(5(3){3.E(\'D\',\'1h\')})}2.k.1g(2.l).1e(2.h)},u:5(y){6 n=[];6 8=2.o();19(8&&8!==1c){7(8.1d().16(y))n.1f(8);8=8.o()}I n},F:5(){6 e=2.o().13();e.12(e.11(2),1);I e}});',62,84,'||this|el|options|function|var|if|cur|ul|hoverClass|obj|animate|props|children|i
frame|bgiframe|now||each|Fx|FxEmpty|delay|matched|getParent|over|element|Rokmoome
nu|removeClass|bind|getParents|getElement|out|contains|expr|sfTimer|opts|Class|ne
w|overflow|setStyle|getSiblings|ele|height|return|opacity|width|in|mouseover|appl
y|addEvents|getStyles|effects|li|extend|getElements|for|Element|Options|500|imple
ment|remove|setOptions|indexOf|splice|getChildren|false|sfHover|test|addClass|ini
tialize|while|hasClass|empty|document|getTag|start|push|set|visible|clear|hidden|
mouseout|true'.split('|'),0,{}))
[PHP] pobierz, plaintext 

Niby skrypt działa, ale antywirusy krzyczą jak nie wiem. Jak mógłbym odkodować taki kod na ten poprzedni, aby móc zamienić?

atak jest w więszkośći na blogi wordpress i forum mybb.

Spróbuj wkleić oryginalny kod na http://jsbeautifier.org/

Ostatnio podobnie wyglądający skrypt js zaatakował jedną ze stronek, którymi się zajmuję. Chodziło o dziurę w wordpressie 2.9.2.

Poradziłem sobie, ale nadal nie wiem: co taki skrypt robił (jak można zdekodować to, co zapodał kamil9012) oraz co właściwie szkodliwego może wyrządzić js użytkownikowi końcowemu (chrome i ff zablokowały tę stronkę ze względu właśnie na ten skrypt).

Może ktoś pomóc?

kod który tu podano rozkodowany i sformatowany (alt+shift+f w netbeans) zamieszczam poniżej nie chce mi się go przeglądać...
żeby rozkodować zamienia się przy takim czymś eval na console.log najprościej

[JAVASCRIPT] pobierz, plaintext 
var Rokmoomenu=new Class({
    options:{
        bgiframe:true,
        hoverClass:'sfHover',
        delay:500,
        animate:{
            props:['opacity','height'],
            opts:Class.empty
            }
        },
initialize:function(el,options){
    this.setOptions(options);
    this.element=$(el);
    this.element.getElements('li').each(function(el){
        el.addEvents({
            'mouseover':this.over.bind(this,el),
            'mouseout':this.out.bind(this,el)
            })
        },this)
    },
over:function(el){
    $clear(el.sfTimer);
    if(!el.hasClass(this.options.hoverClass)){
        el.addClass(this.options.hoverClass);
        var ul=el.getElement('ul');
        if(ul){
            if(this.options.bgiframe)ul.bgiframe({
                opacity:false
            });
            ul.animate(this.options.animate)
            }
            el.getSiblings().each(function(ele){
            ele.removeClass(this.options.hoverClass)
            },this)
        }
    },
out:function(el){
    el.sfTimer=(function(){
        el.removeClass(this.options.hoverClass);
        var iframe=el.getElement('iframe');
        if(iframe)iframe.remove()
            }).delay(this.options.delay,this)
    }
});
Rokmoomenu.implement(new Options);
Element.extend({
    animate:function(obj){
        if(!this.Fx){
            this.Fx=this.effects(obj.opts);
            this.now=this.getStyles.apply(this,obj.props);
            this.FxEmpty={};
 
            for(var i in this.now)this.FxEmpty[i]=0
                }
                if(obj.props.contains('height')||obj.props.contains('width')){
            this.setStyle('overflow','hidden');
            this.getParents('ul').each(function(el){
                el.setStyle('overflow','visible')
                })
            }
            this.Fx.set(this.FxEmpty).start(this.now)
        },
    getParents:function(expr){
        var matched=[];
        var cur=this.getParent();
        while(cur&&cur!==document){
            if(cur.getTag().test(expr))matched.push(cur);
            cur=cur.getParent()
            }
            return matched
        },
    getSiblings:function(){
        var children=this.getParent().getChildren();
        children.splice(children.indexOf(this),1);
        return children
        }
    });
[JAVASCRIPT] pobierz, plaintext