Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[13.58.39.23] |
|
Страницы: (2) 1 [2] все ( Перейти к последнему сообщению ) |
Сообщ.
#16
,
|
|
|
Знать бы еще, "на что именно"... Цитата Dark Side @ Для начала - имена сайтов, куда идёт перенаправление, потом все возможные команды перенаправления. Никаких имён сайтов или перенаправлений в явном виде нет. Все инъекции закодированы в Base64. Цитата Dark Side @ JS можно посмотреть и руками - гадости обычно дописывают себя в конце файлов либо полностью переписывая их Ни одного подобного не найдено. Цитата Dark Side @ можно почитать все имеющееся index.* файлы - обычно заражение только ими и ограничивается. Увы, это не так. По крайней мере в данном случае... Заражены HTML, JS, PHP, CFG, TPL файлы. Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции! Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию... Цитата Dark Side @ А если подумать? Заражение наверняка происходило не руками, так-что модифицировались далеко не все файлы и можно просто поискать отклонения. Отклонения от ЧЕГО? Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь? Дык люди ж не только по форумам ошиваются |
Сообщ.
#17
,
|
|
|
Цитата vot @ А эти коды не ищутся?Все инъекции закодированы в Base64. Цитата vot @ Да. Но гугл обычно ставит предупреждение об опасности посещения сайта, и снимает его не сразу и отнюдь не за красивые глаза.Дык люди ж не только по форумам ошиваются Цитата vot @ От нормы. Это-же продакшн, причем законченный. Т.е. всё заливалось довольно давно. А значит изменения вирусом (если он конечно сам не менял время модификации) - есть самые последние изменения.Отклонения от ЧЕГО? Если ты впервые видишь файлы проекта, с чем ты их сравнивать будешь? Цитата vot @ Бред какой-то. Нафига так сложно-то? Но всё-равно: нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку. Разных типов-то там явно не сотни. Заражены HTML, JS, PHP, CFG, TPL файлы. Метод инъекции - в основном внедрение закодированного яваскрипта или пхп-кода прямо внутри тела файла, причем по многу раз. Рекорд инфицирования одного файла = 152 инъекции! Внедрение очень аккуратное, не нарушающее ни хтмл-разметку, ни яваскрипты, ни пхп-код. Причем в инъекциях используются несколько разных методов, что затрудняет идентификацию... |
Сообщ.
#18
,
|
|
|
Цитата Dark Side @ нашел одно внедрение - написал его вырезаловку по всему зайту (хоть на том-же php), нашел другое - опять написал его вырезаловку. Ну так и делается. Только где гарантия, что ты ВСЁ нашел? Лично я вот не уверен... |
Сообщ.
#19
,
|
|
|
Цитата vot @ Если заходить на этот сайт напрямую, то зараза никак себя не проявляет. Но вот если поискать в Гугле "DVI-Group", и кликнуть в первую найденную ссылку, то Гугл честно перенаправляет на данный сайт, но зараза на сайте активируется и переадресует браузер на случайные зараженные или порнушные сайты. Вылечили уже? Не наблюдаю такого. Windows XP SP3, виртуалка VirtualBox, opera 11.50. Показывает сайт какой-то компании компании. |
Сообщ.
#20
,
|
|
|
Как починили?
|
Сообщ.
#21
,
|
|
|
Тупым поиском всех файлов, содержащих любой шестнадцатеричный код...
|