Добрый день,
многие .js файлы заражены… если их чистить вручную, то на следующий день они опять с вредным кодом "грязные".
они правятся каким то скриптом, который лежит в одном из файлов сайта. сам скрипт (троян) найти не удается
Подскажите пожалуйста — как его искать
#2
21 декабря 2012 в 18:57
антивирус его не видит
#3
21 декабря 2012 в 19:13
Сравнить файлы с дистрибутивом, winmerge
Сегодня в 16:07
#4
21 декабря 2012 в 19:14
бекап файлов есть? так проще всего)
#5
21 декабря 2012 в 19:22
Уууу.в индекс.пхп посмотри, может какой то левый скрипт.И дизайн если ставил другой, он может быть заражён.смени ради теста.
#6
21 декабря 2012 в 19:55
надо искать не то что изменено, а то через что меняли. либо шелл залит, либо пароли от фтп ушли (что наиболее вероятно)
#7
21 декабря 2012 в 21:17
Что делает-то вирусяга!?
#8
21 декабря 2012 в 21:28
Ленивый, сказано же, заражает js файлы
#9
21 декабря 2012 в 21:35
я понял, что заражает js файлы, но приводит это к чему? Как это проявляется?
1. Сравнить файлы с дистрибутивом.
Ничего не даст, потому что скрипт скорее всего дописан в уже существующем файле. нужно проверять каждый.
2. Бекап.
Не известно — как давно троян сидит в папках. + Востановление — сложный путь, потому что очень много доработок и изменений пользователями.
3. надо искать не то что изменено, а то через что меняли. либо шелл залит, либо пароли от фтп ушли.
Пароли сменены, доступы поправлены. Скорее всего шелл, вот только как его найти… это вопрос. Если открывать и проверять каждый файл на предмет посторонних кодов — уйдут месяцы.
4. Что делает-то вирусяга!?
Пытается открывать другие сайты во фрейме главной страницы… а так еще куча побочного говна.
Я просто думал, может кто то с таким сталкивался… подскажет как искать
Ничего не даст, потому что скрипт скорее всего дописан в уже существующем файле. нужно проверять каждый.
2. Бекап.
Не известно — как давно троян сидит в папках. + Востановление — сложный путь, потому что очень много доработок и изменений пользователями.
3. надо искать не то что изменено, а то через что меняли. либо шелл залит, либо пароли от фтп ушли.
Пароли сменены, доступы поправлены. Скорее всего шелл, вот только как его найти… это вопрос. Если открывать и проверять каждый файл на предмет посторонних кодов — уйдут месяцы.
4. Что делает-то вирусяга!?
Пытается открывать другие сайты во фрейме главной страницы… а так еще куча побочного говна.
Я просто думал, может кто то с таким сталкивался… подскажет как искать
#11
22 декабря 2012 в 14:56
К чему тогда этот пост?1. Сравнить файлы с дистрибутивом.
Ничего не даст, потому что скрипт скорее всего дописан в уже существующем файле. нужно проверять каждый.
2. Бекап.
Не известно — как давно троян сидит в папках. + Востановление — сложный путь, потому что очень много доработок и изменений пользователями.
3. надо искать не то что изменено, а то через что меняли. либо шелл залит, либо пароли от фтп ушли.
Пароли сменены, доступы поправлены. Скорее всего шелл, вот только как его найти… это вопрос. Если открывать и проверять каждый файл на предмет посторонних кодов — уйдут месяцы.
4. Что делает-то вирусяга!?
Тогда нужно было просто написать — я сам ничего делать не хочу, сделайте все за меня!
#12
22 декабря 2012 в 15:13
на моем хостинге в техподдержке сказали, что ата проблемма массового характера
что очень много обращений за последние дни
вдруг кто то тоже подвергся атаке
что очень много обращений за последние дни
вдруг кто то тоже подвергся атаке
#13
22 декабря 2012 в 15:21
Евгений, нет универсального способа удаления троянов, на вашем хостинге ведь не только instantcms стоит, хотя если массово то может дырка в настройках демонов, но в любом случае не обойдетесь без проверки всех ваших файлов на предмет изменения.
Евгений,
Пишите в личку.
Это я к тому, что ничего в этом сложного нет ))
Хотите, я вам смержу весь ваш сайт за 5 мин с офф дистрибутивом, и вышлю все отличия в файлах, а так же установлю скрипт, который в дальнейшем будет по крону все это делать и слать на почту все изменения?1. Сравнить файлы с дистрибутивом. Ничего не даст, потому что скрипт скорее всего дописан в уже существующем файле. нужно проверять каждый.
Пишите в личку.
Это я к тому, что ничего в этом сложного нет ))
#15
24 декабря 2012 в 15:32
спасибо. решено