Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (для изучения) (примеры вредоносного кода и устранение)
Вирусы на сайтах (для изучения)
DJ_AL_Lectro
Сообщений: 1
Репутация: 0

Сообщение # 61 | 18:02:33 05 Ноя 2010
Здравствуйте! Помогите убить вирус на сайте http://smartgamez.ru/! Вроде делал все как сверху описано, но все равно не помогло cry
bigsergey
Сообщений: 19
Репутация: 0

Сообщение # 62 | 11:38:51 06 Ноя 2010
Здравствуйте. У меня вылазят непонятные окна на сайте. Главное меню стало неактивным (сверху слева), войти тоже не могу под своим именем. Ссылку проверил д-ром Вебом, кэш очистил. Как поправить? Адрес сайта http://www.vizit43.ucoz.ru/
Прикрепления: 4614913.jpg (69.0 Kb)
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 63 | 14:52:09 06 Ноя 2010
DJ_AL_Lectro, блок опросы
в коде блока опросы стоит ифрейм на ga1.net.ru
ифрейм находится между
Code
<img style="width: 14px; height: 14px;" alt="Все опросы нашего сайта" src="http://rbk-cs.ru/script/opros/8019266a5531.jpg" align="" border="0" height="14" width="14"><span style="font-size: 8pt;"> Архив опросов</span></a>  
далее идет ифрейм
а далее продолжение кода
Code
<div style="padding-top: 4px; font-size: 7pt; text-align: center;">Всего голосовало: <b>6</b></div>
<center><a style="font-size: 8pt;" href="/forum"> Обсудить на форуме</a></center>
ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
bigsergey
Сообщений: 19
Репутация: 0

Сообщение # 64 | 15:36:01 06 Ноя 2010
Окна всплывают на главной странице, я и дальше-то не могу перейти. И не работает вход в систему.
Прикрепления: 5483953.jpg (160.3 Kb)
Dmitry
Сообщений: 2154
Репутация: 1057

Сообщение # 65 | 15:49:39 06 Ноя 2010
bigsergey, Вот этот скрипт, выводит эти окна:
Code
<script src="http://www.compteur.cc/clock/v2/clock.php?s=89&h=1&i=1&b=0x3399ff&lar=121.3&hau=121.3" /></script>

Но там есть ещё.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 66 | 15:53:36 06 Ноя 2010
bigsergey, удаляйте то, что сказал Scorpik427
а именно

Code
<script src="http://www.compteur.cc/clock/v2/clock.php?s=89&h=1&i=1&b=0x3399ff&lar=121.3&hau=121.3" /></script>

Scorpik427,

Quote
Но там есть ещё.
нету там ничего. видгео оттуда же
ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
bigsergey
Сообщений: 19
Репутация: 0

Сообщение # 67 | 16:08:41 06 Ноя 2010
<noscript><a href="http://www.compteur.cc/clock/">flash clocks, blog clock</a></noscript>
это тоже удалять?
Dmitry
Сообщений: 2154
Репутация: 1057

Сообщение # 68 | 16:17:33 06 Ноя 2010
bigsergey, Да, это мусор.
Adam6384
Репутация: 0

Сообщение # 69 | 16:17:43 06 Ноя 2010
1. http://nokiaallsymbian.ru
2. Имя сервера: [ s28 ]
IP сервера: 195.216.243.28
3. Неисправность заключаеться в том,что при клике на практически любую ссылку(даже на картинку) на главной или на форуме,всплывает увесистое окно-баннер(скрин ниже),это при том,что я дабы избежать всяческой рекламы юкоза на сайте,оплачиваю соотвествующую услугу.
4. Точного места сбоя нет,так как это происходит и на главной и на форуме,то есть везде.
5. -----------------------------------------------------------
6. Собственно сами скриншоты:


или тут: http://s015.radikal.ru/i330/1011/7b/176ad3df9341.jpg
http://s013.radikal.ru/i322/1011/6e/dafec46130ab.jpg
Хочу добавить,что никаких изменений мною в коде превнесено не было(по крайней мере,в течении последнего месяца).Данная трабла появилась вчера и продолжаеться до сих пор.Себе ничего подобного я неустанавливал.Повторюсь,что наоборот оплачивал услуги,чтоб избежать подобных вещей.
Прошу принять меры,так как данный баг отваживает потенциальных посетителей и уже пошли жалобы.Спасибо.
Сообщение отредактировал Adam6384 - Суббота, 06 Ноя 2010, 13:48:59
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 70 | 16:26:42 06 Ноя 2010
Adam6384, удалить следующий код (выделено красным)

Quote

<a href="javascript://" onclick="new _uWnd('TdUsrLst',' ',250,450,{autosize:0},{url:'/index/62-2'});return false;" class="fUsrList">Сегодня были:</a>

<center><table><tr><td><script src="http://www.widgeo.net/geocompteur/geocompteur.php?c=geoiphone&id=1600094&adult=0&cat=informatique&fonce=undefined&claire=undefined"></script></td></tr><tr><td align="center">
<noscript><a href="http://www.widgeo.net">widgets</a></noscript>
<a href="http://www.widgeo.net"><img alt="widgets" border="0" src="http://www.widgeo.net/img/logopm.png"></a></td></tr></table></center><!-- </bc> --></div>

то что выделено жирным красным и есть код вызова ваших окошек

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
bigsergey
Сообщений: 19
Репутация: 0

Сообщение # 71 | 16:55:50 06 Ноя 2010
Code
<!-- <block1> -->
<table class="boxTable"><tr><th><!-- <bt> --><!--<s5158>-->Форма входа<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$LOGIN_FORM$

<a href="javascript://" onclick="confirm("Выйти?")) parent.location='$LOGOUT_LINK$';">Выход</a><!-- </bc> --></td></tr></table>
<!-- </block1> -->

<!-- <block3> -->
<?if($CATEGORIES$)?>
<table class="boxTable"><tr><th><!-- <bt> --><!--<s5351>-->Категории раздела<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$CATEGORIES$<!-- </bc> --></td></tr></table>
<?endif?>
<!-- </block3> -->

<!-- <block2> -->
<?if($CHAT_BOX$)?>
<table class="boxTable"><tr><th><!-- <bt> -->Мини чат<!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$CHAT_BOX$<!-- </bc> --></td></tr></table>
<?endif?>
<!-- </block2> -->

<!-- <block4> -->
<table class="boxTable"><tr><th><!-- <bt> -->Опрос...<!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$POLLC_1$

$POLLC_3$<!-- </bc> --></td></tr></table>
<!-- </block4> -->

<!-- <block5> -->
<table class="boxTable"><tr><th><!-- <bt> --><!--<s3163>-->Поиск<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$SEARCH_FORM$
<br>
<center>
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" width="190" height="110">
<param name="movie" value="http://img3.depositfiles.com/flash/DepositUploader_190x110.swf?ref=bigsergey&interfaceId=2〈=RU&lang_xml=http%3A%2F%2Fimg3.depositfiles.com%2Fflash%2FDepositUploader.xml"></param>
<param name="menu" value="false"></param>
<param name="scale" value="noScale"></param>
<param name="allowFullScreen" value="true"></param>
<param name="allowscriptaccess" value="always"></param>
<param name="wmode" value="transparent"></param>
<embed src="http://img3.depositfiles.com/flash/DepositUploader_190x110.swf?ref=bigsergey&interfaceId=2〈=RU&lang_xml=http%3A%2F%2Fimg3.depositfiles.com%2Fflash%2FDepositUploader.xml" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" menu="false" scale="noScale" wmode="transparent" width="190" height="110"></embed>
</object>
<br>
<br>
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"
codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0"
width="175" height="110">
<param name="movie" value="http://turbobit.net/ref/ru/turbobit_2_175x110.swf">
<param name="quality" value="high">
<param name="bgcolor" value="#ffffff">
<param name="flashvars" value="PHPSESUD=9DDB07108CFCA5A31A8FE5DB617DB06E">

<embed
src="http://turbobit.net/ref/ru/turbobit_2_175x110.swf"
quality="high"
bgcolor="#ffffff"
width="175"
height="110"
flashvars="PHPSESUD=9DDB07108CFCA5A31A8FE5DB617DB06E"  
type="application/x-shockwave-flash"
pluginspage="http://www.macromedia.com/go/getflashplayer">
</embed>
</object>

<br><br>
<a href="http://wm.letitbit.net/register.php?invite=c47c2aba7ddfb561f655f2ba84cc3493"><img src="http://www.vizit43.ucoz.ru/ILLBFor.gif" border="0"" alt=""/></a></center><!-- </bc> --></td></tr></table>
<!-- </block5> -->

<!-- <block588> -->
<table class="boxTable"><tr><th><!-- <bt> -->Друзья сайта<!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> --><!--<s1546>--><li><a href="http://www.glamour43.3dn.ru/" target="_blank">Парикмахерская Glamour</a></li><!-- </bc> --></td></tr></table>
<!-- </block588> -->

<!-- <block6> -->
<table class="boxTable"><tr><th><!-- <bt> --><!--<s5171>-->Календарь<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> -->$CALENDAR$

<center>

<!--Информер RosInvest.Com: Курсы валют-->
<a href="http://www.rosinvest.com/"; target="_blank"><img alt="Информеры - курсы валют" src="http://www.rosinvest.com/informs/120-62/orange.gif"; border="0" width="120" height="62"></a></center>
<!--Информер RosInvest.Com--><!-- </bc> --></td></tr></table>
<!-- </block6> -->

<!-- <block2138> -->
<table class="boxTable"><tr><th><!-- <bt> -->Помощь<!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> --><center><table cellpadding="0" cellspacing="0" border="0" style="font: 0.8em Arial, sans-serif"><tr><td width="116" height="77" style="border: 0; background:url(http://img.yandex.net/i/money/top-5rub-default.gif) repeat-y; text-align:center; padding: 0;" align="center" valign="bottom"><form style="margin: 0; padding: 0 0 2px;" action="https://money.yandex.ru/donate.xml" method="post"><input type="hidden" name="to" value="41001432690299"/><input type="hidden" name="s5" value="5rub"/><input type="submit" value="Дай пять"/></form></td></tr><tr><td width="116" height="38" style="font-size:13px; color:black;padding: 0; border: 0; background:url(http://img.yandex.net/i/money/bg-default.gif) repeat-y; text-align:center; padding: 5px 0;" align="center" valign="top"><b>на новый хостинг</b></td></tr><tr><td style="padding: 0; border:0;"><img src="http://img.yandex.net/i/money/bottom-default.gif" width="116" height="40" alt="" usemap="#button" border="0" /><map name="button"><area alt="Яндекс" coords="38,2,49,21" href="http://www.yandex.ru"><area alt="Яндекс. Деньги" coords="52,1,84,28" href="https://money.yandex.ru"><area alt="Хочу такую же кнопку" coords="17,29,100,40" href="https://money.yandex.ru/choose-banner.xml"></map></td></tr></table>
<br><br>
<a href="http://freeviral.ru/?r=534805" target="_blank" title="Система бесплатной раскрутки и продвижения сайтов">
<img src="http://freeviral.ru/img/ban100100_0.gif" alt="Система бесплатной раскрутки и продвижения сайтов" border="0" width="100" height="100"></a></center><!-- </bc> --></td></tr></table>
<!-- </block2138> -->

<!-- <block1368> -->
<table class="boxTable"><tr><th><!-- <bt> -->Погода<!-- </bt> --></th></tr><tr><td class="boxContent"><!-- <bc> --><center><table cellpadding=0 cellspacing=0 width=169 style="border:solid 1px
#fe203c;font-family:Arial;font-size:12px;background-color:#20fe27"><tr><td>
<table width=100% cellpadding=0 cellspacing=0><tr><td width=8 height=30
background="http://rp5.ru/informer/htmlinfa/topshl.png" bgcolor=#fe203c>
</td><td width=* align=center background="http://rp5.ru/informer/htmlinfa/topsh.png" bgcolor=#fe203c>
<a style="color:#ffffff; font-family:Arial;font-size: 12px;" href="http://rp5.ru/4013/ru">
<b>Киров</b></a></td><td width=8 height=30 background="http://rp5.ru/informer/htmlinfa/topshr.png" bgcolor=#fe203c>
</td></tr></table></td></tr><tr><td valign=top style="padding:0;">
<iframe src="http://rp5.ru/htmla.php?id=4013〈=ru&bg=%2320fe27&ft=%23ffffff&fc=%23fe203c&c=%23000000
&f=Arial&s=12&sc=4" width=100% height=266 frameborder=0 scrolling=no
style="margin:0;"></iframe></td></tr></table></center><!-- </bc> --></td></tr></table>
<!-- </block1368> -->

<!-- <block7> -->
<table class="boxTable"><tr><th><!-- <bt> --><!--<s5195>-->Статистика<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><div align="center"><!-- <bc> -->$COUNTER$
<?if($ONLINE_COUNTER$)?><hr />$ONLINE_COUNTER$$ONLINE_USERS_LIST$<?endif?><BR></P>
<br/>
<table><tr><td><script src="http://www.widgeo.net/geocompteur/geocompteur.php?c=geoall3&id=1360122&adult=1&cat=economie&fonce=undefined&claire=undefined"></script></td></tr><tr><td align="center">
<noscript><a href="http://www.widgeo.net">widgeo.net</a></noscript>
<a href="http://www.widgeo.net"><img alt="widgeo.net" border="0" src="http://www.widgeo.net/.s/t/979/logopm.png"></a></td></tr></table>
<a href="http://s06.flagcounter.com/more/vb2Y"><img src="http://s06.flagcounter.com/count/vb2Y/bg=FFFFFF/txt=000000/border=CCCCCC/columns=3/maxflags=36/viewers=0/labels=0/" alt="free counters"></a>
<br><br>
<a href="http://www3.clustrmaps.com/user/c4aba07b"><img src="http://www3.clustrmaps.com/stats/maps-no_clusters/www.vizit43.ucoz.ru--thumb.jpg" alt="Locations of visitors to this page" />
</a><!-- </bc> --></div></td></tr></table>
<!-- </block7> -->
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 72 | 16:59:03 06 Ноя 2010
bigsergey то что выделено красным удалить

Quote
<!-- <block7> -->
<table class="boxTable"><tr><th><!-- <bt> --><!--<s5195>-->Статистика<!--</s>--><!-- </bt> --></th></tr><tr><td class="boxContent"><div align="center"><!-- <bc> -->$COUNTER$
<?if($ONLINE_COUNTER$)?><hr />$ONLINE_COUNTER$$ONLINE_USERS_LIST$<?endif?><BR></P>
<br/>
<table><tr><td><script src="http://www.widgeo.net/geocompteur/geocompteur.php?c=geoall3&id=1360122&adult=1&cat=economie&fonce=undefined&claire=undefined"></script></td></tr><tr><td align="center">
<noscript><a href="http://www.widgeo.net">widgeo.net</a></noscript>
<a href="http://www.widgeo.net"><img alt="widgeo.net" border="0" src="http://www.widgeo.net/.s/t/979/logopm.png"></a></td></tr></table>
<a href="http://s06.flagcounter.com/more/vb2Y"><img src="http://s06.flagcounter.com/count/vb2Y/bg=FFFFFF/txt=000000/border=CCCCCC/columns=3/maxflags=36/viewers=0/labels=0/" alt="free counters"></a>
<br><br>
<a href="http://www3.clustrmaps.com/user/c4aba07b"><img src="http://www3.clustrmaps.com/stats/maps-no_clusters/www.vizit43.ucoz.ru--thumb.jpg" alt="Locations of visitors to this page" />
</a><!-- </bc> --></div></td></tr></table>
<!-- </block7> -->
ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
bigsergey
Сообщений: 19
Репутация: 0

Сообщение # 73 | 17:25:31 06 Ноя 2010
Просто он работал у меня почти год и проблем не было.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 74 | 17:33:00 06 Ноя 2010
bigsergey, я вас понимаю очень. мне тоже было странно думать о том, что конторка хттп://www.widgeo.net настолько испортилась вдруг. их услугами многие пользовались и достаточно долго.
но раз так, что лучше воздержаться от их услуг в дальнейшем. и это не только у вас. посмотрите, пока мы с вами разбирались ещё один пострадавший появился с такой же проблемой.
на самом деле, чем меньше стороннего кода на сайте - тем лучше. так что вряд ли вы сильно потеряли с утратой этого кода, а часы можно поставить и не на флеше, можно найти что либо более легкое, так же как информер от видгео не сильно и был нужен. сайт полегче станет
ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
lxxNUTSxxl
Сообщений: 1
Репутация: 0

Сообщение # 75 | 00:53:00 07 Ноя 2010
такой вопрос: при входе на сайт http://www.live-dota.net.ru/ как гость выдает вирус и при просмотре кода присутствует скрипт:

<style type="text/css">.ca8c8N7 {position:absolute;right:0px;top:0px;} div > table.ca8c8N7 {position:fixed;}</style>
<script type="text/javascript">function fa8c8N7(a){try{document.getElementById("pa8c8N7").style.display=a;}catch(e){}try{document.getElementById("a8c8N7").style.display=a;}catch(e){}}function f2a8c8N7(){fa8c8N7('');}</script> <div id="pa8c8N7"><table border="0" cellspacing="0" cellpadding="0" class="ca8c8N7" id="a8c8N7" style="z-index:10000;width:232px"><tr><td valign="top" width="12"><a href="javascript://" onclick="fa8c8N7('none');return false;" title="Закрыть"><img alt="" src="http://s103.ucoz.net/img/ma/cv.gif" style="border:0;width:12px;height:54px;"></a></td><td width="220"><script type="text/javascript">document.write('<iframe frameborder="0" width="220" scrolling="no" style="height:310px;background-color:#FFFFFF;border-bottom:1px solid #000000;border-left:1px solid #000000" src="/abnl/?begun=2"></iframe>');</script></td></tr></table></div>

а при входе как пользователь ничего и вышестоящий код отсутствует!

подскажите что ето такое??

Сообщение отредактировал lxxNUTSxxl - Воскресенье, 07 Ноя 2010, 00:53:49
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (для изучения) (примеры вредоносного кода и устранение)
Поиск: