UMIhelp

Разработка сайта на UMI.CMS => Настройка системы и модулей => Тема начата: don_basilio от 06 Февраля 2012, 09:37:50

Название: Подозрительный код на сайте
Отправлено: don_basilio от 06 Февраля 2012, 09:37:50
Недавно делал бэкап файлов сайта, антивирус обнаружил вирусы в двух файлах а именно  /man/ru/config/main.html и /man/ru/search/index_control.html . В них я обнаружил строчку подключающую java скрипт вот из этого источника  "src="pantscow.ru:8080/Cable_Modem.js" . Что это может быть за скрипт? И что мне с этим делать?
Название: Re:Подозрительный код на сайте
Отправлено: admin от 06 Февраля 2012, 11:31:36
в первую очередь стоит сказать, что не надо переходить по этой ссылке, так как антивирус и даже просто google chrome говорит что туда идти не стоит) да и люди в интернете пишут ,что туда соваться не стоит

Цитировать
I had an error on my site so I went to look at the code of the index.php and I found the following code at the bottom.

ATTENTION: DO NOT GO TO THIS SITE
http:/ /pantscow.ru:8080 /Cable_Modem.js
(made it so you can't click the link)

люди пишут о похожих скриптах (или это его скрытые версии), что они копируются в index файлы и в *.js файлы.

Как решать
Наверно есть способы и получше, но люди пишут что просто копируют весь сайт, делают поиск по всем файлам на предмет инкапсулированных строчек по разным слепкам
Цитировать
obscurewax.ru/Queue.js
obscurewax.ru/Cablemodem.js
obscurewax.ru/Kilobyte.js
и удаляют их.

Из-за чего может произойти
Всех причин перечислят я не буду, да и это отдельная тема, но главное что многие игнорируют, это сохранение паролей в файловых менеджерах, не надо этого делать!)

подробнее смотри тут (http://stackoverflow.com/questions/3393888/how-can-i-remove-script-virus-from-my-script)

ВАЖНО!!!!
P.S. При написании ответа и поиска инфы о сайте, мой антивирус пресекал один и тот же вирус
Файл: C:\Documents and Settings\K\Application Data\Mozilla\Firefox\Profiles\jkzevj53.default\sessionstore.js   
Вирус: HTML/ScrInject.B.Gen вирус   
Описание: Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.
Название: Re:Подозрительный код на сайте
Отправлено: don_basilio от 06 Февраля 2012, 12:22:12
@admin Спасибо за вводный инструктаж. Буду искать и удалять, а то мне хостер пишет, что на сайте обнаружена подозрительная активность и требует устранить все уязвимости.