|
Andy Larkin
Зарегистрирован:
2009-09-04
Сообщений: 22
|
на нескольких проектах одновременно появились вот таки символы в начале каждой страницы
Код:t§§‘:lda?k�ыцO�rsxRVFSU&чљd`ыU:vOwz’MPNaэ&�4r7ќWЎszjawi1”fS:ЁHoc¤џњqmrnю!|�;e1cЊR�2XHCC�„Pl&Ѓь*;t§§‘:lda?k�ыцO�rsxRVFSU&чљd`ыU:vOwz’MPNaэ&�4r7ќWЎszjawi1”fS:ЁHoc¤џњqmrnю!|�;e1cЊR�2XHCC�„Pl&Ѓь*;
при этом видно их не со всех компьютеров.
в этот же момент были замечены изменения почти всех index-фалов NetCata (в конце каждого из них был дописан яваскрипт код-вирус). ручками все исправил, но символы все равно остались.
думаю, что это трабла не только Нетката, но я надеюсь, что кто-нибудь из вас знает как такое лечить.
буду признателен за любые намеки, подсказки и советы.
спасибо.
god is real unless declared as integer
|
|
СК
Стас Куприянов
Зарегистрирован:
2009-12-03
Сообщений: 17
|
Были такие проблемы, сейчас (тьфу-тьфу) отвязались. Что лично я делал? Восстанавливал более раннюю версию сайта (архив проекта); обновлял версию системы NetCat (т.к. он обновляет почти все index-файлы, хотя быть может я ошибаюсь); с помощью текстового редактора рекурсивно удалял все ненужные строчки из index-файлов. Обязательно, после чистки файлов и проверки на корректность отображения страниц, менял доступ к FTP.
|
|
Andy Larkin
Зарегистрирован:
2009-09-04
Сообщений: 22
|
мне удалось это победить, но я так и не понял, как получилось, что с компов в офисе эта ошибка вылезает, а с любых других нет ... причина была в следующем: вирусняк перезаписал все индексные файлы, добавив в конец файла явасрипт, который закачивал на клиента, открывшего страницу, такой же вирус (в свою очередь вирус сканировал машину, на которую попал, на предмет сохраненных фтп паролей, сам конектился к таким фтп и перезаписывал индексный файлы) ... но это было пол беды ... вторая часть: кроме изменения индексных фалов, вирус кидал свой backdoor в совершенно случайный каталог, т.е. выбирал достаточно большую уровень вложенности и оставлял там запасной выход + в один из сриптов пхп, который тоже выбирается случайно, дописывалась строчка подключения этого backdoor ... в результате имеем: жертва чистит индексные файлы и думает, что все ок, но в определенный момент backdoor(видимо активируется извне) вновь их "портил" ... эту дырку я смог найти только благодаря этой ошибке (которую я описал выше), ручным просмотром всей структуры подключения файлов в пхп скриптах ... но что именно это за ошибка и по какой причине она появлялась, только если на сайт заходили с определенных компов, мне так и не удалось выяснить =(
после того как снес всю эту фигню, сменил пароли на фтп и поменял cmod на индексные фалы (хотя последнее маловероятно, что поможет)
god is real unless declared as integer
|
