Вирус на сайте, но не могу найти где

509
random

Кажется, на моем сайте есть вирус. Это было там в течение некоторого времени, и у меня еще не было проблем. AVG поднимает его, а McAfee - нет.

Я управляю веб-сайтом (sortitoutsi.net). Несколько лет назад на моем компьютере появился вирус, который захватил мои пароли FTP и добавил несколько строк JavaScript в верхнюю часть моего сайта.

Я удалил их и считаю, что это было исправлено. Однако, используя расширение «Веб-разработчик» для Firefox, я обнаружил, что JavaScript на моей странице указывал различные ссылки на такие URL-адреса, как:

  • gittigidiyor-com.excite.co.jp.webmasterworld-com.eastmusicdirect.ru:8080/aboutus.org/aboutus.org/google.com/skycn.com/torrents.ru.php

  • gittigidiyor-com.excite.co.jp.webmasterworld-com.eastmusicdirect.ru:8080/index.php?jl=

Эти термины нигде не появляются. В исходном коде, в любом из JavaScript или CSS. Я также не вижу никаких неузнаваемых мошеннических изображений.

Я понятия не имею, откуда этот JavaScript.

Кто-нибудь может подсказать, как мне найти ссылки на эти ссылки и удалить их?

Я вижу их как в расширении для веб-разработчиков Firefox, так и на вкладке net с помощью Firebug.

Любая помощь будет принята с благодарностью.

-2
Вы пытались очистить кеш в вашем веб-браузере? 14 лет назад 1
Почему этот вопрос был перенесен сюда, а не на http://serverfault.com? Jørn Schou-Rode 14 лет назад 0
@ Закрытие Йорна - которое включает в себя миграцию - принимается большинством голосов от 5 пользователей. Если есть ничья, тогда выигрывает первый голос. ChrisF 14 лет назад 0

2 ответа на вопрос

0

Я не понимаю, как они могли иметь руткит на машине, в конце концов у меня есть 20 сайтов на этой машине, и только один сайт был создан.

Я также не понимаю, как это может позволить им выводить JavaScript на странице. Конечно, для того, чтобы браузер мог его скачать, он должен быть где-то в javascript, а не на самом сервере.

Не могли бы вы объяснить немного больше, почему вы считаете, что необходима полная чистая машина?

РЕДАКТИРОВАТЬ: я разместил этот вопрос в качестве гостя на stackoverflow, и, похоже, потерял тот факт, что это мое в миграции. Я понимаю, что это сейчас грязно, но я не могу отвечать на ответы. Если кто-то знает, как это исправить, пожалуйста, дайте мне знать.

Всякий раз, когда машина подвергается риску, вы не должны доверять ей. Руткиты спроектированы так, чтобы быть скрытыми, и если бы двоичные файлы были заменены, они могли бы скрывать процессы, делающие отвратительные вещи; если у вас есть троянский ps, как вы можете использовать ps, чтобы выяснить, запущен ли другой вредоносный процесс? Bart Silverstrim 14 лет назад 0
@Ssv - вам нужны только первые три символа имени пользователя, чтобы увидеть комментарий, направленный на них, и так как это ответ Роба, он все равно его увидит. ChrisF 14 лет назад 0
@Chr - Спасибо! Я не знал точного синтаксиса. Где я могу найти этот тип информации о SuperUser? ssvarc 14 лет назад 0
Взгляните на http://meta.stackoverflow.com, где есть всякая интересная информация о трилогии ;-) Ivo Flipse 14 лет назад 0
@Ssv - как указал Иво (но забыл добавить свой идентификатор пользователя), проверьте http://meta.stackoverflow.com ChrisF 14 лет назад 0
@Rob - мой исходный комментарий был удален, но вам необходимо связать свои учетные записи переполнения стека и учетных записей суперпользователей, чтобы вновь стать владельцем вопроса. ChrisF 14 лет назад 0
0
Gabriele Petrioli

Проверьте верх и низ файла http://sortitoutsi.net/template/js/general.js ...

выглядит довольно подозрительно для меня ..

Похожие вопросы