Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   что за скрипт? (https://forum.antichat.xyz/showthread.php?t=58575)

GSM™ 14.01.2008 07:12
что за скрипт?
 
http://slil.ru/25354045
сидел в index.html при переходе по адресу на моем диске с создалось несколько файлов tmp и один admin.exe все это прилагается в архиве. так же антивирус касперского в момент этого всего впал в даун, а после обнаружил загрузку вируса с какого то адреса. адрес прилагается в текстовом файле. помогите узнать что это за ерунда и что она могла натворить.
поясню- index.html лежит у меня в корне форума и служит для переадресации с www.адрес.домен на www.адрес.домен/forum

Хозяин 14.01.2008 07:27
Ну на самом деле ничего тут сверхестественного нет ...

В index.html - вставлен ифрейм.
Он в свою очередь по средствам эксплойта грузит лоадер (admin.exe) который грузит трой, что и спалил касперский.

admin.exe

http://www.virustotal.com/ru/analisis/bea2f2ed57ff2f4f8e6a84a658087781

GSM™ 14.01.2008 07:33
а как его туда могли вставить?

Хозяин 14.01.2008 07:41
ну как мне кажется у тебя тупо украли пароль к фтп и фставили ифреймером.
Т.к. ифрейм вставлен в корень диры, в индекс не основной а для переадресации, "машинная" работа как говорится.

Но вариантов куча ... смысл - получили права на запись в корень диры.
Самый вероятный и простой - получили акк фтп

bul.666 14.01.2008 08:28
Или шелл


Время: 14:15