Регистрация
Вход через соцсети
Восстановление пароля

SOS: Непонятные символы и вирусы

Новый топик
16.11.2009, 17:28
Ответить | Цитировать
Andy Larkin

Зарегистрирован:
2009-09-04
Сообщений: 22

на нескольких проектах одновременно появились вот таки символы в начале каждой страницы

Код:
t§§‘:lda?k�ыцOrsxRVFSU&чљd`ыU:vOwz’MPNaэ&4r7ќWЎszjawi1”fS:ЁHoc¤џњqmrnю!|;e1cЊR2XHCC„Pl&Ѓь*;t§§‘:lda?k�ыцOrsxRVFSU&чљd`ыU:vOwz’MPNaэ&4r7ќWЎszjawi1”fS:ЁHoc¤џњqmrnю!|;e1cЊR2XHCC„Pl&Ѓь*;


при этом видно их не со всех компьютеров.
в этот же момент были замечены изменения почти всех index-фалов NetCata (в конце каждого из них был дописан яваскрипт код-вирус). ручками все исправил, но символы все равно остались.

думаю, что это трабла не только Нетката, но я надеюсь, что кто-нибудь из вас знает как такое лечить.

буду признателен за любые намеки, подсказки и советы.
спасибо.

god is real unless declared as integer
09.12.2009, 18:27
Ответить | Цитировать
СК
Стас Куприянов

Зарегистрирован:
2009-12-03
Сообщений: 16

Были такие проблемы, сейчас (тьфу-тьфу) отвязались. Что лично я делал? Восстанавливал более раннюю версию сайта (архив проекта); обновлял версию системы NetCat (т.к. он обновляет почти все index-файлы, хотя быть может я ошибаюсь); с помощью текстового редактора рекурсивно удалял все ненужные строчки из index-файлов. Обязательно, после чистки файлов и проверки на корректность отображения страниц, менял доступ к FTP.
15.12.2009, 14:57
Ответить | Цитировать
Andy Larkin

Зарегистрирован:
2009-09-04
Сообщений: 22

мне удалось это победить, но я так и не понял, как получилось, что с компов в офисе эта ошибка вылезает, а с любых других нет ... причина была в следующем: вирусняк перезаписал все индексные файлы, добавив в конец файла явасрипт, который закачивал на клиента, открывшего страницу, такой же вирус (в свою очередь вирус сканировал машину, на которую попал, на предмет сохраненных фтп паролей, сам конектился к таким фтп и перезаписывал индексный файлы) ... но это было пол беды ... вторая часть: кроме изменения индексных фалов, вирус кидал свой backdoor в совершенно случайный каталог, т.е. выбирал достаточно большую уровень вложенности и оставлял там запасной выход + в один из сриптов пхп, который тоже выбирается случайно, дописывалась строчка подключения этого backdoor ... в результате имеем: жертва чистит индексные файлы и думает, что все ок, но в определенный момент backdoor(видимо активируется извне) вновь их "портил" ... эту дырку я смог найти только благодаря этой ошибке (которую я описал выше), ручным просмотром всей структуры подключения файлов в пхп скриптах ... но что именно это за ошибка и по какой причине она появлялась, только если на сайт заходили с определенных компов, мне так и не удалось выяснить =(
после того как снес всю эту фигню, сменил пароли на фтп и поменял cmod на индексные фалы (хотя последнее маловероятно, что поможет)

god is real unless declared as integer
198 196 2009-12-15 14:57:07 7814
Описание проекта