FreeHost.com.UA
Ноября 14, 2019, 04:54:58 pm *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Распродажа серверов http://freehost.com.ua/forum/index.php?topic=2093.0
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: 1 2 [3]
  Печать  
Автор Тема: iframe на странице  (Прочитано 13078 раз)
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #30 : Апреля 26, 2011, 08:29:19 pm »

В FTP клиенте пароль не храню,
а права на кекш 777 по мануалу движка, пробовал пониже- не работает.
А про владельца я не знаю . в правах выставлен один везде.

У вас joomla? Если да, то попробуйте обновить ее до последней версии.
Записан

Lucy in the Sky with Diamonds
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #31 : Апреля 26, 2011, 10:43:35 pm »

Также многие движки предусматривают каталог с общедоступной записью например для реализации загрузки файлов или картинок.
Всем, у кого наблюдаются проблемы с внедрением постороннего кода, рекомендуется проверить каталоги upload, images и т.д на наличие сторонних php-скриптов с подозрительными названиями. К примеру botz.php, dc.php, r57.php - это те что не раз встречались на проломаных клиентских акаунтах со старыми версиями joomla.
Записан

Lucy in the Sky with Diamonds
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #32 : Апреля 27, 2011, 07:56:38 am »

Нет, у меня phpbb 3.0.8. Нашел один лишний файлик web.config, удалил, пока чисто
Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #33 : Апреля 27, 2011, 01:39:01 pm »

Надо было не удалять, а прислать нам, на посмотреть, что там внутри Улыбающийся Расширение config в принципе не должно было позволять выполнять php код, нужно искать какой-то .php например в папке с пользовательскими файлами, или картинками, вообщем там где много файлов. %%80 где-то запрятан шелл, или подсунута лишняя функция, которая и инклудит каждый раз вредоносный код.
Ты проверь ещё вот так, проверь что ифрейма нет, потом в админке нажми кнопку "Очистить кэш", и снова открой сайт (только безопасно, через ссылку и на ней "сохранить объект как". Хотя я думаю ты и так заражен, но так правильнее.) Если в коде страницы опять есть ифрейм, значит он вставляется при генерации кеша автоматически, и надо искать где и как.

У вас joomla? Если да, то попробуйте обновить ее до последней версии.
Невнимательно читаешь тему, он уже говорил что у него форум ББ.


Вообще глянул я тут внимательнее на этот ифрейм. Дык это ж директория. И в ней генерится веб-сервером индексный файл, в котором в сущности ничего криминального, ссылки на 4 скрипта. Скрипты тоже помоему безобидные, но даже если и не так, то они же не запускаются и не выполняются в браузере.

Код:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
 <head>
  <title>Index of /js</title>
 </head>
 <body>
<h1>Index of /js</h1>
<ul><li><a href="/"> Parent Directory</a></li>
<li><a href="jsmain.js"> jsmain.js</a></li>
<li><a href="lib.js"> lib.js</a></li>
<li><a href="mootools-core.js"> mootools-core.js</a></li>
<li><a href="mootools-more.js"> mootools-more.js</a></li>
</ul>
</body></html>
Сами посмотрите.
Если на этом месте и был вирусный скрипт, то сейчас его нет.

А ты уверен что не установил на форум какой-то левый скин, в котором этот ифрейм зачем-то использовался создателем?
« Последнее редактирование: Апреля 27, 2011, 02:35:15 pm от AMBA » Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #34 : Апреля 27, 2011, 03:30:54 pm »

Большое спасибо за советы и помощь

Цитировать
Если в коде страницы опять есть ифрейм, значит он вставляется при генерации кеша автоматически, и надо искать где и как

Кеш почистил, сохранил проверил, в коде страницы - чисто

Цитировать
И в ней генерится веб-сервером индексный файл, в котором в сущности ничего криминального, ссылки на 4 скрипта.

Так я бы и не заметил его  Смеющийся если бы антивирь не начал ругаться (я писал в первом посте)

Цитировать
А ты уверен что не установил на форум какой-то левый скин, в котором этот ифрейм зачем-то использовался создателем?

Уверен, скин базовый и стоит один мод с оф сайта, но он и раньше стоял

Нашел в бекапе web.config

Код:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments>
<add segment="cache" />
<add segment="files" />
<add segment="store" />­
<add segment="config.php" />
<add segment="common.php" />
</hiddenSegments>
</requestFiltering>
</security>
</system.webServer>
<location path="images/avatars">
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments>
<add segment="upload" />
</hiddenSegments>
</requestFiltering>
</security>
</system.webServer>
</location>
</configuration>

Но это ни при чем, сегодня опять висит iframe. Видимо просто мудак этот на пасху в родное село ездил  Веселый. А сейчас вернулся .
« Последнее редактирование: Апреля 28, 2011, 12:39:17 pm от gransh » Записан
AMBA
Hero Member
*****

Karma: 2
Сообщений: 955



Просмотр профиля E-mail
« Ответ #35 : Апреля 28, 2011, 05:12:27 pm »

Та ну, не реально чтоб каждый день сам лазил и руками вставлял такую муть. Ну это уже самый тупой хацкер придумал бы как автоматизировать Улыбающийся Прямо даже и не знаю чем ещё помочь, попробуй напрячь саппорт, попроси их внимательно порчитать эту тему, и потом самим полезть и порыться что и откуда берётся. У них же доступ есть, ну и они немного больше могут Улыбающийся Если таки решат помочь, то аминь, но если забъют то увы Грустный
Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #36 : Апреля 29, 2011, 10:19:20 am »

Просмотрел несколько сайтов на нашем айпишнике нашел пока еще один с таким же ифреймом. Может поддержка и обратит внимание.
Записан
Komintern
FreeHost
*****

Karma: 9
Сообщений: 417


Админ


Просмотр профиля WWW
« Ответ #37 : Апреля 29, 2011, 11:32:27 am »

Лучше пишите в поддержку, они вычистят весь вредоносный код и поставят правильные права доступа.
Всем кто обратился, вирус этот вычистили. Похоже что это уязвимость в каком-либо из популярных движков (предположительно phpbb или joomla).
Записан

Lucy in the Sky with Diamonds
Artu
Jr. Member
**

Karma: 0
Сообщений: 59


Просмотр профиля
« Ответ #38 : Апреля 29, 2011, 10:19:49 pm »

Написал, нет ответа - #306143.
Записан
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #39 : Апреля 30, 2011, 10:35:06 am »

Аналогично. Пока без ответа. Может, потому что праздники.  Показывает язык
 
Записан
aprel
Member
*****

Karma: 1
Сообщений: 470


aprel


Просмотр профиля WWW
« Ответ #40 : Мая 03, 2011, 03:23:21 pm »

При поиске по файлам не забывайте искать по ключевикам eval, encode, decode, base.
Обычно с их помощью "прячут" вредоносный исходный код.
Кроме того, не обязательно хранить пароль в ФТП-клиенте, чтобы троян его своровал.
Сейчас трояны мониторят сетевое окружение.
Записан

Бывший саппортер
Проблема: пишет ошибку "Выбрана неверная папка". Что делать? -- Решение:очевидно - обратить папку в свою веру.

Dwar'юсь
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #41 : Мая 03, 2011, 05:03:06 pm »

Спасибо, но поиск по этим словам выдает более 2000 записей. По каким признакам его там найти ?
Записан
aprel
Member
*****

Karma: 1
Сообщений: 470


aprel


Просмотр профиля WWW
« Ответ #42 : Мая 04, 2011, 10:12:40 am »

А в этих 2000 записей есть одинаковые участки с использованием eval, encode, decode?
Записан

Бывший саппортер
Проблема: пишет ошибку "Выбрана неверная папка". Что делать? -- Решение:очевидно - обратить папку в свою веру.

Dwar'юсь
gransh
Newbie
*

Karma: 0
Сообщений: 19


Просмотр профиля
« Ответ #43 : Мая 04, 2011, 03:35:24 pm »

Цитировать
А в этих 2000 записей есть одинаковые участки с использованием eval, encode, decode?
проверю в бекапе,

Тех поддержка ответила, что запрос на удаленгие вируса выполнен. Смеющийся
Пока чисто
Записан
Страниц: 1 2 [3]
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.16 | SMF © 2006-2011, Simple Machines Valid XHTML 1.0! Valid CSS!