Взломали сайты

Кто детектировал на рабочем пк!

в этой дериктории сидела пачка троев??

...\Sun\Java\Deployment\..

просканил нодом32, нашлись вот трои в этой дериктории, думаю может снести и касперского еще поставить может он глубже зачистит.

Также делитесь что с обнаруженными сплойтами, не совсем же вирус туп делать иньекцию .js без оставления эксплойтов.

Поставил Каспера, нашёл 81 Вирус... включая и виновника сегодняшней атаки.

Charliez, У меня кто то меняет пароль в админке WordPress. Это может быть вирус?

называется вирус jsredir и разные его модификации, авастом на ура вылечился, в конец всех js подписывается

Мда, второй день такая *ня, с ИМ с форумом, тоже только в JS !

Каспер пишет:

Trojan Program Trojan.JS.Redirector.ux

Trojan Program HEUR:Trojan.Script.Generic

Вроде свалили.

Сегодня опять:

Trojan Program Trojan-Downloader.JS.JScript.ai

Trojan Program Trojan-Downloader.JS.JScript.aw

Придется бэкапиться на неделю назад.😒

---------- Добавлено 06.04.2012 в 12:34 ----------

Leibnitz:

Это скорее всего вирус!

Nomiki, покуда вы не поменяете ftp пароли и не найдете на компе, с которым работаете по ftp, вирусняк, и покуда вы не обновите хотя бы виртуальную машину Ява, заражения ваших сайтов будут повторяться. /ru/forum/comment/10254609

Leibnitz, у вордпресса именно со сменой паролей неизвестными, не сталкивались. А так вордпресс вообще очень уязвим, если его своевременно не обновлять, постоянно ломают сайты на ВП, заражают вирусней, дефейсы делают.. Погуглите "wordpress exploit" и ужаснитесь, что называется..

ТС, не переживайте вы так и не поминайте Господа в суе, всё поправимо.

Итак:

Вирусный код у вас присутствует во всех файлах .js в конце, как я понял.

Значит поехали:

• Меняем все пароли от ftp, ssh, админок, баз данных, e-mail, панелей регистраторов доменов, панелей хостингов.
• Далее потихоньку чистим файлы .js (если нет бэкапов).
• Потом смотрим все файлы index.html и index.php в корне сайтов (обычно в конце коды вирусов).
• Далее чистим .htaccess.
• В базах данных ищем:
• iframe
• unescape
• fromCharCode
• Потом по ftp отсортируйте по дате и смотрите измененные файлы (.php как правило).
• Качаем скрипт ai-bolit, кидаем в корень сайтов, ищем шеллы.
• Далее нужно пробежаться по папкам на наличие доров. Как правило это html файлы около 3000 штук. Давим.
• Лечим компьютеры, прогоняем Malwarebytes Antimalware, либо обращаемся за помощью на http://virusinfo.info

Как же избежать подобного заражения?! НИКОГДА НЕ ХРАНИТЬ ПАРОЛИ В:

• Браузерах
• FTP клиентах
• ICQ клиентах
• Почтовых клиентах
• SSH клиентах

Удачи.

Есть версия что всё не так просто...

Если бы пароль ФТП стырили - ломанули бы все мои сайты, а получилось поломать только шибко распиаренные (всего 7 из 30 в этом аккаунте) -

исправил, но причин - ненашёл... мдяяя

Ну да, конечно, проще придумать версию, что ВСЕХ хостеров, вне зависимости от используемых ими систем и программного обеспечения, взломали, нежели принять факты того, что пароли увели у вебмастера.. :)

Зачем бы кому-то ломать хостеров, чтобы запускать к ним на сайты вирус, крадущий ftp пароли? Ведь пароли легче взломать у хостера, нежели украсть у юзера. По вашей же логике.

mff, спасибо конечно, но я уже проблему решил)

Просто это первый раз, когда произошел такой большой fail.