iframe с вирём, Yandex и Баня
  • Ну может это и вариант, если вирь по фтп закачивает
  • Ну может это и вариант, если вирь по фтп закачивает


    Хочу опредилить способ, т.к. ещё один сайт получил такуюже проблемму!
    Что делать - ума не приложу :\">
  • Хочу опредилить способ, т.к. ещё один сайт получил такуюже проблемму!
    Что делать - ума не приложу  :\">


    у меня все сайты, которые в тотале прописаны, этой дрянью заразились...
    что делать не знаю... щас с ума сойду!!! :( :( :( :( :(
  • у меня все сайты, которые в тотале прописаны, этой дрянью заразились...
    что делать не знаю... щас с ума сойду!!!  :(  :(  :(  :(  :(


    Скажу точно - удалив хвосты всё снова восстанавливается и проблемма не пропадает...

    Смотрю теперь как после закрытия ftp будет дело обстоять
  • было у меня такое, каждый день индексную страницу заменяли с ифреймом, один сайт при апдейте вылетел, после чистки восстановился.
    ограничить фтп своим ипом имхо не поможет, т.к. замена индекса идет с зараженного компа, я просто снес все сохраненные пароли в тотале и ввожу каждый раз ручками
  • было у меня такое, каждый день индексную страницу заменяли с ифреймом, один сайт при апдейте вылетел, после чистки восстановился.
    ограничить фтп своим ипом имхо не поможет, т.к. замена индекса идет с зараженного компа, я просто снес все сохраненные пароли в тотале и ввожу каждый раз ручками


    Но у меня их и небыло в тотале! Сайт заливался больше года назат с компа , которого уже нет в живых!

    ВОО КАК! b-(
  • у меня все пароли на фтп были забиты в тотале на домашнем компе, чтобы дублировать настройки тотала я перенес *.ini файл в папку виндовс с рабочего компа на домашний, вот с этого ини файла и были у меня утянуты пароли, вернее не утянуты как выяснилось, а просто использовался для доступа на фтп.
    Обнаружилось это так:
    смена паролей ничего не дала, ифреймы на мордах так же ежедневно появлялись
    в определенное время комп атаковали с какогото китайского апишника, видать это был сигнал для заливки измененных страниц
    посто удалил тоталовский ini файл из папки виндовс и ифреймы перестали появлятся.

    Может бекап со тарого компа остался с тоталовским ини файлом или просто нас разными методами атаковали
  • Скажу точно - удалив хвосты всё снова восстанавливается и проблемма не пропадает...

    Смотрю теперь как после закрытия ftp будет дело обстоять


    Неделю назад была такая проблема с этим вирусом - почитал в нете - про него - короче виновен вирус варующий ФТП пароли (и тока их)с компа вебмастера лечится - сменой фтп паролей, удалением эт фреймов из кода, обновлением нода, иначе восстанавливается.

    Заражает файлы индекс допиской кода после конца тега (/HTML) если этот тег не находит наверно и не записывается. У меня футы позаражал - лечение минута - т как инклюдятся везде, заразил все мои и клиенские сайты - я в шоке был везде фтп сменил и исправил код, что удивительно дополнительные домены - как на агаве не заражает а тока главный а вот на мастерхосте подругому и все заразил там площадка и папки доменов. На агаве папка с главным доменом и в ней доп домены.
  • короче меня убивает восстановление! (всё после чисток опять вернулось...
    Совет дайте, иначе отправиться за ядом придётся... ~X(
  • короче меня убивает восстановление! (всё после чисток опять вернулось...
    Совет дайте, иначе отправиться за ядом придётся... ~X(

    На мой взгляд чем за ядом идти, заплатили бы небольшую денюжку тому кто шарит в этом. Наверняка окупиться сумма. И здоровье побережете.
    По хакерским форумам полазьте, там поищите спецов.
  • скачай wget'ом сайт и выложи хтмл вмест пхп )
  • На мой взгляд чем за ядом идти, заплатили бы небольшую денюжку тому кто шарит в этом. Наверняка окупиться сумма. И здоровье побережете.
    По хакерским форумам полазьте, там поищите спецов.

    Лучший вариант..

    Наверное можно озвучить цену вопроса (сейчас в ауте 2 сайта)
  • скачай wget'ом сайт и выложи хтмл вмест пхп )


    Он сцучйо хтмл-овские втыкает фрагменты
  • короче меня убивает восстановление! (всё после чисток опять вернулось...
    Совет дайте, иначе отправиться за ядом придётся... ~X(


    На хостингах меняете фтп пароли, установите антивирус с посл обновлением (у меня НОД) проверте на вирусы комп свой. Троян у вас на компе - лезет по фтп когда вы в сети на сайты по паролям которые в тотел командере или виндс команд

    ФТП пароли менять в первую очередь, затем ищите троян у себя на компе.

    Я просто хард голый взял и систему залил затем зашел через тотел ком по фтп(с новым паролем) и поправил все файлы кот он (вир) позаражал.

    Ищется просмотром кода в блокноте. и при нахождении после </HTMl> iframe и другой бодни - просто удаляется этот мусор.
    Бывает что и до конца файла есть этот код и вверху может - его видно.

    Если ПАРОЛИ НЕ СМЕНИТЬ И ВИР ОСТАНЕТСЯ НА КОМПЕ - ВАШЕМ ВСЕ IFRAME ВЕРНЕТ НАМЕСТО - МОЖЕТ И ПОТЕРЕТЬ ФАЙЛЫ с сервака Я СЛЫШАЛ ПРО МОРДУ СТЕРТУЮ.

    Самое печальное что у меня новый клиент ВИР засек а не я - и мне на мыло скриншет антивируса кинул - я бля в лужу сел - хорошо клиент шарящий и ругать особо не стал (с каждым может случиться), я вылечил его сайт (как писал), глянул на другие которые веду - бня.. все с этим трояном и я понял что он на моей машине и занялся лечением - как писал. Все месяц уже прошел все ок тфу тфу
  • 2 kipovez ->>

    методом тыка до всего вышеописанного этого добрался (советовали систему грохнуть и переустановить), ТЬФУ_ТФУ, третий день сухо и комфортно!
  • нашел на сайтике виря PHP.RSTBackdoor :) причем самое интересное заверещал сумантек когда начал заливать коды с сервера на комп для доработки. Добавилась пара php страниц закодированых... скинул их AVZ-шникам.
    Сайт мелкий, на статике так что проявлений ни каких не заметил.
    Появление виря на сайте под вопросом т.к. на этом пароле висят еще пара сайтиков они чистые.
  • Serjikss порекомедовал один "крепкий"  хостинг , говорит что подобного ещё небыло.

    может и нам ссылочку дадите)))) я как раз с агавы съезжаю....
  • Хостинг инфобокс!

    Сегодня нашел такую штуку на сайте

    <iframe src='http://url&#39; width='1' height='1' style='visibility: hidden;'></iframe>
    урл не прописан... теперь смотрю и другие свои сайты на всякий случай..

    и на других аккаунтах тоже самое((((
  • На SWEB.ru появляется следующий POPUP, при входе в ПУ хостинга:
    Уважаемые клиенты! В связи с активизацией вирусов, похищающих пароли от ftp-аккаунтов, просим вас внимательнее относится к хранению ваших паролей. По возможности, не сохраняйте пароли в ftp-клиентах, вирусы пытаются достать информацию из конфигурации ftp-клиентов. Пользуйтесь антивирусами и firewall'ами.

    Так же, старайтесь использовать длиные, "сложные" пароли, состоящие из цифр, строчных и заглавных букв. Хорошая практика - регулярная смена паролей.


    Причём это уже давно написано
  • maximuz
    Да у меня стоит drweb и аутпост... Но в CUTEFTP храню пароли к фтп...

    Может кто знает название вируса, который дописывает ПОСЛЕ </html>

    <iframe src='http://url&#39; width='1' height='1' style='visibility: hidden;'></iframe>
Эта тема была закрыта.
Все темы

Привет, незнакомец!

Похоже, Вы новенький! Чтобы начать обсуждение, кликните на одну из кнопок ниже ;)

Войти с помощью OpenID

Категории

В этой теме: