Скрипт на сайте, которого нет в исходном коде

@forik01 · Регистрация: 31.10.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте. Очень нужна помощь.
Веду небольшой блог на вордпресс. Недавно обнаружил странный скрипт, который видно при нажатии на просмотр кода страницы. Но его нет в исходном коде самого сайта, как бы я не искал.
Т.е я так понимаю он внедрен в сайт, но не в исходный код. Подскажите пожалуйста, что можно предпринять и как избавиться от этой заразы.

JavaScript
1
2
3
4
5
6
7
8
9
10
11
12
13
function fWblWTpiWmG0o() {
    var o=document.getElementById("VhWvPAPgEEGI");
    o.value="uwrbBATX2a4W";
}
var bV3D9lXwNYOl0 = document.getElementById("submit");
if (bV3D9lXwNYOl0) {
    var cH2gdVIJInt64 = document.getElementById("VhWvPAPgEEGI");
    var pYTaGNoX7j7jM = bV3D9lXwNYOl0.parentNode;
    pYTaGNoX7j7jM.appendChild(cH2gdVIJInt64, bV3D9lXwNYOl0);
    addHandler(bV3D9lXwNYOl0, "mousedown", fWblWTpiWmG0o);
    addHandler(bV3D9lXwNYOl0, "keypress", fWblWTpiWmG0o);
}
</script>

z-z · 01.09.2014, 21:30

forik01, для начала попытаться выяснить, что эти функции делают... возможно ВП сам что-то сует туда для чего нибудь)) потом все таки выяснить, откуда этот код появляется... Не может быть такого, чтоб кусок кода появился сам по себе...

посмотрите на странице элементы с айдишниками VhWvPAPgEEGI, submit, VhWvPAPgEEGI... Может от этого все и прояснится))

@Eva Rosalene · 01.09.2014, 21:50

Скорее всего, сайт взломан. А перед нами кейлоггер. Впрочем, может быть и так, как сказал z-z.

Добавлено через 46 секунд
Не, на кейлог непохоже. Странная вещь. Меня смущают идиотские названия переменных, честно говоря.

@forik01 · 01.09.2014, 22:35 **[ТС]**

FraidZZ, вот-вот, непохоже на какой-то нужный скрипт, такие названия явно не используют.
z-z, странная вещь еще и в том, что когда делаешь просмотр страницы то скрипт этот есть. Но когда заходишь в админку и делаешь ту же самую процедуру просмотр коды страницы - скрипта этого нет.
Вот для меня загадка, что это вообще такое?

Добавлено через 4 минуты
только что пришло в голову. в свое время добавлял яндекс метрику, а именно вебвизор (то есть просмотреть, какой пользователь куда нажимал и что делал). Но если честно не помню добавляется ли какой-то код.
Хотя смущает, что яндекс бы использовал подобные имена.

@Eva Rosalene · 01.09.2014, 22:37

Сообщение от forik01

Вот для меня загадка, что это вообще такое?

Раз в обход админки, значит, должен быть вирус

Добавлено через 55 секунд
Но, опять-таки говорю, конкретно в этом я не специалист. Может тему перенести в раздел вордпресс?

z-z · 01.09.2014, 22:46

имена странные потому, что скорее всего генерируются автоматически) Если есть скрипт слежки от яндекса, то это тоже может объяснить, почему такой скрипт висит на странице, ибо тут как раз и слушается нажатие клавиш и клики мышью... обход админки это тоже объясняет - зачем яндексу клики в админке?))
Однако, на сколько я знаю, яндекс не кладет лишние скрипты на страницу, он динамически все подключает...
Говорю же ,покопайте, откуда он берет свои корни)) Попробуйте отключить в браузере javascript и перегрузите страницу, посмотрите, будет ли там еще скрипт... Если да, то он выгружается с сервера - а значит его можно удалить... Если пропал - значит он кладется динамически - тогда надо смотреть, какие запросы улетали со страницы и смотреть странные запросы)) Просто попробуйте понять, откуда он берется...

ЗЫ. На сколько я понял, скрипт не делает ничего страшного, он просто при кликах и нажатиях клавиш вставляет какое то значение для какого то элемента... Возможно при сохранении чего-то, например статьи, это потом отправляется на сервер или еще куда нибудь (что уже может быть опасно) =)

@forik01 · 01.09.2014, 23:19 **[ТС]**

Сообщение от z-z

Попробуйте отключить в браузере javascript и перегрузите страницу, посмотрите, будет ли там еще скрипт

спасибо за советы. пробовал отключить, в странице ничего не изменилось, а скрипт остался(
для проверки, скачал с ftp этот шаблон и установил его на локалке, чтобы посмотреть будет ли скрипт. И его в коде страницы я не нашел.

@qm · 02.09.2014, 03:49

Похоже на защиту от ботов.
На страницу добавляется скрытый инпут, в который при взаимодействии с сабмитом формы записывается какое-то значение, которое позже сверяется на сервере.

Как защищает от ботов?
Очень просто — боту теперь недостаточно просто постить данные, нужно еще и выдергивать рандомные значения, ну а javascript они зачастую не умеют.

Новые блоги и статьи Все статьи Все блоги /
Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .
Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .

z-z 170 / 169 / 56 Регистрация: 22.06.2011 Сообщений: 980
	01.09.2014, 21:30
	forik01, для начала попытаться выяснить, что эти функции делают... возможно ВП сам что-то сует туда для чего нибудь)) потом все таки выяснить, откуда этот код появляется... Не может быть такого, чтоб кусок кода появился сам по себе... посмотрите на странице элементы с айдишниками VhWvPAPgEEGI, submit, VhWvPAPgEEGI... Может от этого все и прояснится)) 1

@Eva Rosalene Модератор 5241 / 2115 / 416 Регистрация: 06.01.2013 Сообщений: 4,846
	01.09.2014, 21:50
	Скорее всего, сайт взломан. А перед нами кейлоггер. Впрочем, может быть и так, как сказал z-z. Добавлено через 46 секунд Не, на кейлог непохоже. Странная вещь. Меня смущают идиотские названия переменных, честно говоря. 1

@forik01 0 / 0 / 0 Регистрация: 31.10.2013 Сообщений: 5
	01.09.2014, 22:35 [ТС]
	FraidZZ, вот-вот, непохоже на какой-то нужный скрипт, такие названия явно не используют. z-z, странная вещь еще и в том, что когда делаешь просмотр страницы то скрипт этот есть. Но когда заходишь в админку и делаешь ту же самую процедуру просмотр коды страницы - скрипта этого нет. Вот для меня загадка, что это вообще такое? Добавлено через 4 минуты только что пришло в голову. в свое время добавлял яндекс метрику, а именно вебвизор (то есть просмотреть, какой пользователь куда нажимал и что делал). Но если честно не помню добавляется ли какой-то код. Хотя смущает, что яндекс бы использовал подобные имена. 0

z-z 170 / 169 / 56 Регистрация: 22.06.2011 Сообщений: 980
	01.09.2014, 22:46
	имена странные потому, что скорее всего генерируются автоматически) Если есть скрипт слежки от яндекса, то это тоже может объяснить, почему такой скрипт висит на странице, ибо тут как раз и слушается нажатие клавиш и клики мышью... обход админки это тоже объясняет - зачем яндексу клики в админке?)) Однако, на сколько я знаю, яндекс не кладет лишние скрипты на страницу, он динамически все подключает... Говорю же ,покопайте, откуда он берет свои корни)) Попробуйте отключить в браузере javascript и перегрузите страницу, посмотрите, будет ли там еще скрипт... Если да, то он выгружается с сервера - а значит его можно удалить... Если пропал - значит он кладется динамически - тогда надо смотреть, какие запросы улетали со страницы и смотреть странные запросы)) Просто попробуйте понять, откуда он берется... ЗЫ. На сколько я понял, скрипт не делает ничего страшного, он просто при кликах и нажатиях клавиш вставляет какое то значение для какого то элемента... Возможно при сохранении чего-то, например статьи, это потом отправляется на сервер или еще куда нибудь (что уже может быть опасно) =) 2

@qm 25 / 24 / 7 Регистрация: 15.08.2014 Сообщений: 60
	02.09.2014, 03:49
	Похоже на защиту от ботов. На страницу добавляется скрытый инпут, в который при взаимодействии с сабмитом формы записывается какое-то значение, которое позже сверяется на сервере. Как защищает от ботов? Очень просто — боту теперь недостаточно просто постить данные, нужно еще и выдергивать рандомные значения, ну а javascript они зачастую не умеют. 0