Хроники лаборатории
Сказ о том, как я вирус обхитрил

На одном подконтрольном мне сайте появилась подозрительная приписка. Прямо на главной странице. Некий код на JavaScript, зашифрованный по самые фигурные скобки. Ну, думаю, бывает. Почистил, успокоился. Через часок решил проверить - как оно там? А «оно» снова на месте! Вот ведь упорная зараза, и где только сидит? Удалил, призадумался. Копию сохранил на себе диск, проверил антивирусом. Trojan-clicker.js.agent.h. Описания в Интернете не водится. Что ж, будем использовать народную медицину.

Что нам известно? Другими файлами эта зараза побрезговала. А это, если подумать, существенно упрощает дело. Достаточно сделать копию файла index.php под названием, допустим, ya_ne_ya_i_script_ne_moi.php. И применим старую добрую мантру mod_rewrite в .htaccess: RewriteRule index.php ya_ne_ya_i_script_ne_moi.php. Вуаля! Осталось подождать час...

Спустя час эта гадость снова вписалась в index.php. А выдаваемый сервером вместо него ya_ne_ya_i_script_ne_moi.php остался цел и невредим. В общем, все довольны: вирус думает, что он сделал, что хотел, а посетители больше не рискуют получить от сайта какую-то гадость.


RSS HTML рубрики: приемчикиjuick twitter facebook вконтакте

Случайные записи впридачу:
Рингтон. (рингтоны)
Новое на сайте. (сайтоводство)
Новые футболки. (футболки)

Dandr (03 дек 2007г, 11:06) [TLC] Без заголовка [ссылка на комментарий]

А причину так и не нашёл?


V.exeR (03 дек 2007г, 11:09) [ссылка на комментарий]

dandr: скорее всего, хостер прошляпил вирь. Но контакт с хостером в мои обязанности не входит, поэтому я просто ограничился таким локальным «финтом ушами»

Машина Времени - Она идет по жизни смеясь
пасечник медовый (16 апр 2011г, 10:13) [ссылка на комментарий]

У меня, если набрать несуществующий адрес, типа dzyo-san.ru/radix, то происходит перенаправление другой сайт. Например RDS-бар показывает наличие у меня robots.txt, которого у меня нет и если нажать на кнопку, то опять же переходишь на другой сайт. В indexphp у меня изменений нет, сравнил с оригиналом.
V.exeR (16 апр 2011г, 11:00) [ссылка на комментарий]

u7820 пасечник медовый: посмотри, что в .htaccess? Там же можно прописывать страницы для ошибок - 404, 403 и т.п. Видимо, там что-то окопалось. Или вообще - стукнись ко мне в аську, может, оперативнее поковыряемся с этой заразой.
пасечник медовый (18 апр 2011г, 21:47) [ссылка на комментарий]

У меня его нет. Наиболее подходящее для меня нашёл у www.instructing.ru/hitrosti/htaccess.html
Сделал как там написано, т.е. файл содержал одну запись: ErrorDocument 404 http://dzyo-san.ru, т.е. цель была чтобы с несуществующей страницы открывалась главная. Но не заработало. Вместо моего сайта вообще стал открываться зловредный сайт.
V.exeR (19 апр 2011г, 15:56) [ссылка на комментарий]

u7820 пасечник медовый: странно все это... Увы, больше ничего, не «щупая руками», сказать не смогу...
Откуда вы?   

Войти через loginza
Оставлять комментарии могут только
имеющие свой ЖЖ-, ЛИру-аккаунт или
еще какой openID (как так?).
Подписаться


Рубрики:

жизненное
аудио-я
видеомонтаж
фотоохота
ремонт
стихи
рассказы
синематограф
библиотека
фонотека
точка зрения
FAQ
приемчики
придумалось
ожидания-прогнозы
допридумано
рингтоны
это я так шучу
обои
микрозарисовки
опасный Интернет
я в печати
поездки-тусовки
смехоспам
мой код
футболки
игродром
подводная жизнь
сайтоводство
программы
персоны
LI.ru
аватарки
курсоры


Разное:

Полка с фильмами
Книжная полка
Полка с играми
Фотоальбом
Избранное


Календарь записей

2017 (10)
май (2)
апрель (1)
март (2)
январь (5)
2016 (10)
2015 (3)
2014 (12)
2013 (10)
2012 (17)
2011 (84)
2010 (172)
2009 (228)
2008 (263)
2007 (154)
2006 (4)
2005 (1)
2004 (1)
2002 (1)
2001 (9)
2000 (9)
1999 (1)
© сайт разработан и поддерживается мной.