forum.lissyara.su

Добавлено: **2008-07-27 17:16:16**

Есть код в котором ClamAV увидел PUA.JS.Packed (потенциально опасное приложение). Но сцуко обфусцирован он, а сам я JS не шибко соображаю. Может кто подскажет что он делает?
З.Ы. Небольшая предыстория... сайт похакали и теперь с него рассылаются трояны. Причем вызовом со стороннего сервера. Антивирусом сканил весь сервер, но только на этот файл он ругнулся.

Код: Выделить всё

eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('5 H=j P();5 Q=j P();5 1g;5 1h;5 1i;5 1j;7 2q(A,I){5 g=j P();g[0]=\'<a 1k="1B(\\\'\'+A+\'\\\', \\\'\'+I+\'\\\'); l m;" B="#">\'+1C+\'</a>\';g[1]=\'<a B="\'+h+Z+\'?10=11&J=11&9=\'+A+\'" 12="13">\'+1D+\'</a>\';l g};7 2r(14,1E,1F,1G){5 g=j P();g[0]=\'<a B="2s://2t.2u.2v/2w/?1l=\'+14+\'" 12="13">\'+1E+\'</a>\';g[1]=\'<a B="\'+h+Z+\'?10=2x&1l=\'+14+\'" 12="13">\'+1F+\'</a>\';g[2]=\'<a B="\'+h+Z+\'?10=2y&1l=\'+14+\'" 12="13">\'+1G+\'</a>\';l g};7 2z(e){8(H[e]!=""){6.f(\'R-9-\'+e).S=H[e]}l m};7 1H(){H[1j]=\'\'};7 2A(e,I){5 4=j u();5 15=0;8(6.f(\'2B\'+e).K){15=1}1j=e;4.v(\'\');5 1m=4.L(6.f(\'X-R-\'+e).p);5 1I=4.L(6.f(\'X-1J-\'+e).p);5 d="1m="+1m;4.c("9",e);4.c("15",15);4.c("1J",1I);4.c("1K",I);4.c("J","1L");4.w=h+"r/4/11.q";4.x=\'16\';4.y=\'R-9-\'+e;4.Y=1H;4.z(d);l m};7 1M(){5 T=6.f(\'R-9-\'+1i);5 F=1n(T);8(F){1o(0,F-1p)}};7 1B(e,I){8(!H[e]||H[e]==\'\'){H[e]=6.f(\'R-9-\'+e).S}5 4=j u();1i=e;4.v(\'\');5 d="";4.c("9",e);4.c("1K",I);4.c("J","X");4.w=h+"r/4/11.q";4.x=\'M\';4.y=\'R-9-\'+e;4.Y=1M;4.z(d);l m};7 1N(){5 T=6.f(\'U-9-\'+1g);5 F=1n(T);8(F){1o(0,F-1p)}};7 2C(A){5 g=j P();g[0]=\'<a 1k="1O(\\\'\'+A+\'\\\'); l m;" B="#">\'+1C+\'</a>\';g[1]=\'<a B="\'+h+\'?1q=G&J=2D&9=\'+A+\'">\'+1D+\'</a>\';l g};7 1O(k){8(!Q[k]||Q[k]==\'\'){Q[k]=6.f(\'U-9-\'+k).S}5 4=j u();1g=k;4.v(\'\');5 d="";4.c("9",k);4.c("J","X");4.w=h+"r/4/1P.q";4.x=\'M\';4.y=\'U-9-\'+k;4.Y=1N;4.z(d);l m};7 2E(k){8(H[k]!=""){6.f(\'U-9-\'+k).S=Q[k]}l m};7 1Q(){Q[1h]=\'\'}7 2F(k){5 4=j u();1h=k;4.v(\'\');5 1r=4.L(6.f(\'X-U-\'+k).p);5 d="1r="+1r;4.c("9",k);4.c("J","1L");4.w=h+"r/4/1P.q";4.x=\'16\';4.y=\'U-9-\'+k;4.Y=1Q;4.z(d);l m};7 2G(17,I){5 4=j u();4.v(\'\');5 d="17="+17;4.c("J",I);4.c("18",19);4.w=h+"r/4/2H.q";4.x=\'M\';4.y=\'2I-9-\'+17;4.z(d);l m};7 2J(){5 4=j u();5 C=4.L(6.f(\'C\').p);4.v(\'\');5 d="C="+C;4.w=h+"r/4/1R.q";4.x=\'16\';4.y=\'2K-1R\';4.z(d);l m};7 2L(1s,1t){5 4=j u();4.v(\'\');5 d="";4.c("1t",1t);4.c("1s",1s);4.w=h+"r/4/1S.q";4.x=\'M\';4.y=\'1S-1u\';4.z(d)};7 2M(1T){1U.1V(h+\'r/2N/2O.q?2P=\'+1T,\'\',\'1W=1,2Q=1X,2R=1X, 1Y=0, 1Z=0, 20=1v\')};7 2S(1a,9){5 4=j u();4.v(\'\');5 d="21="+1a;4.c("e",9);4.c("18",19);4.w=h+"r/4/22.q";4.x=\'M\';4.y=\'23-1u\';4.z(d)};7 2T(1a,9){5 4=j u();4.v(\'\');5 d="21="+1a;4.c("e",9);4.c("18",19);4.c("2U","2V");4.w=h+"r/4/22.q";4.x=\'M\';4.y=\'23-1u-\'+9;4.z(d)};7 2W(){5 s=6.f(\'N-G-s\');5 o=j u();8(24=="1v"){6.f(\'G\').p=2X.2Y();s.2Z()}t{30();8(s.G.p==\'\'||s.C.p==\'\'){31(32);l m}o.v(\'\');5 d="25="+s.25.p;o.c("G",o.L(s.G.p));o.c("C",o.L(s.C.p));o.c("26",o.L(s.26.p));o.c("18",19);8(s.1w){o.c("1w",s.1w.p)}o.w=h+"r/4/33.q";o.x=\'16\';o.27=V;o.y=\'N-4-G\';o.z(d)}};7 34(28){D=\'\';8(6.29){D=6.29()}t 8(6.2a){D=6.2a.35().1x}8(D.36(" ","")!=""){D=\'[2b=\'+28+\']\'+D+\'[/2b]\\n\'}};7 37(C){5 1y=6.f(\'N-G-s\').G;5 1b="";8(24=="38"){8(D!=""){1y.p+=D}t{1y.p+="[b]"+C+"[/b],"+"\\n"}}t{8(D!=""){1b=D}t{1b="<b>"+C+"</b>,"+"<39 />"}3a.3b.3c(1b)}};7 3d(1z){8(1z!=\'\')2c(1z)};7 2c(9){5 E=2d;8(6.f){E=6.f(9)}t 8(6.2e){E=6.2e[9]}t 8(6.2f){E=6.2f[9]}8(!E){}t 8(E.W){8(E.W.1c=="1A"){E.W.1c=""}t{E.W.1c="1A"}}t{E.2g="3e"}};7 3f(){5 O=6.3g;3h(5 i=0;i<O.2h.3i;i++){5 1d=O.2h[i];8(1d.3j==\'3k\'){8(O.1e.K==V){1d.K=m}t{1d.K=V}}}8(O.1e.K==V){O.1e.K=m}t{O.1e.K=V}};7 3l(1f){5 2i=3m(3n);8(2i)6.2j=1f};7 3o(1x){3p(\' \'+1x+\' \',\'\',m);6.f(\'2k\').W.2g="3q";6.f(\'2k\').W.1c="1A";3r=2d};7 2l(){3s();5 T=6.f(\'N-2m\');5 F=1n(T);8(F){1o(0,F-1p)}};7 3t(d){3u();8(6.f(\'N-2n\').S!=\'\'){6.f(\'N-2n\').S=\'\'}5 4=j u();4.v(\'\');4.w=h+"r/4/3v.q";4.x=\'M\';4.27=V;4.y=\'N-2m\';4.Y=2l;4.z(d)};7 3w(1f,A,2o){5 g=j P();g[0]=\'<a \'+1f+\' >\'+3x+\'</a>\';g[1]=\'<a B="\'+h+\'2p.q?1q=3y&3z=3A&3B=\'+A+\'">\'+3C+\'</a>\';g[2]=\'<a B="\'+h+\'2p.q?1q=3D&3E=\'+A+\'">\'+3F+\'</a>\';8(2o==\'1\'){g[3]=\'<a 1k="1U.1V(\\\'\'+h+Z+\'?10=3G&J=3H&9=\'+A+\'\\\', \\\'3I\\\',\\\'3J=0,2j=0,3K=0, 1Z=0, 1Y=0, 3L=0,20=1v,1W=0,3M=3N,3O=3P\\\'); l m;" B="#">\'+3Q+\'</a>\'}l g};',62,239,'||||ajax|var|document|function|if|id|||setVar|varsString|news_id|getElementById|menu|dle_root||new|c_id|return|false||dle_comments_ajax|value|php|engine|form|else|dle_ajax|onShow|requestFile|method|element|sendAJAX|m_id|href|name|dle_txt|item|post_box_top|comments|n_cache|event|action|checked|encodeVAR|GET|dle|frm|Array|c_cache|news|innerHTML|post_main_obj|comm|true|style|edit|onCompletion|dle_admin|mod|editnews|target|_blank|m_ip|allow_br|POST|fav_id|skin|dle_skin|rate|finalhtml|display|elmnt|master_box|url|comm_id|comm_edit_id|s_id|e_id|onclick|ip|news_txt|_get_obj_toppos|scroll|70|do|comm_txt|month|year|layer|yes|sec_code|text|input|d1|none|ajax_prep_for_edit|menu_short|menu_full|l1|l2|l3|whenCompletedSave|news_title|title|field|save|whenCompleted|whenCompletedCommentsEdit|ajax_comm_edit|editcomments|whenCompletedSaveComments|registration|calendar|sPicURL|window|open|resizable|200|top|left|scrollbars|go_rate|rating|ratig|dle_wysiwyg|post_id|mail|execute|qname|getSelection|selection|quote|DoDiv|null|all|layers|visibility|elements|agree|location|dle_emo|DlePageCompleted|content|info|group|index|MenuNewsBuild|IPMenu|http|www|nic|ru|whois|iptools|blockip|ajax_cancel_for_edit|ajax_save_for_edit|allow_br_|MenuCommBuild|comm_edit|ajax_cancel_comm_edit|ajax_save_comm_edit|doFavorites|favorites|fav|CheckLogin|result|doCalendar|ShowBild|modules|imagepreview|image|HEIGHT|WIDTH|doRate|dleRate|mode|short|doAddComments|oEdit1|getXHTMLBody|submit|closeall|alert|dle_req_field|addcomments|dle_copy_quote|createRange|replace|dle_ins|no|br|oUtil|obj|insertHTML|ShowOrHide|show|ckeck_uncheck_all|pmlist|for|length|type|checkbox|confirmDelete|confirm|dle_del_agree|dle_smiley|doInsert|hidden|ie_range_cache|hideBusyLayer|DlePage|showBusyLayer|pages|UserMenu|menu_profile|pm|doaction|newpm|user|menu_send|lastcomments|userid|menu_fcomments|editusers|edituser|User|toolbar|status|menubar|width|540|height|500|menu_uedit'.split('|'),0,{}))

Добавлено: **2008-07-27 17:46:31**

в чем смысл вопроса?

удали вирус, и что за файл? если движое cms, то переустанови...

Добавлено: **2008-07-27 17:49:22**

>ProFTP

сайт похакали и теперь с него рассылаются трояны. Причем вызовом со стороннего сервера

не факт что там вирус
просто разбрать скрипт надо
а то вдруг это часть сайта
которую его разработчик просто обфускачил
малоли

Добавлено: **2008-07-27 17:52:24**

если я правильно понял, то вирус похитил ftp логин и пароль ( на венде например, клиенты некоторые хранят в открытом виде) и вирус ставит свой скрипт на сайт...?

Добавлено: **2008-07-27 17:58:56**

Я не знаю вирус или не вирус это поставил на сайт, но оно там есть. Удалять... это проще всего, но я не уверен что не пострадает функционал сайта из-за этого. Хотя вообще это CMS DLE, можно и в ней посмотреть что там должно быть. Но с другой стороны не уверен что CMS не дописывали самостоятельно и переустановка ее можнт все похерить

Вообще, независимо ни от чего, конечно хотелось бы знать, что этот скрипт делает.

Добавлено: **2008-07-27 18:01:24**

посмотреть может в портах есть или в инете
js препроцессор и выполнить пошагово
))

Добавлено: **2008-07-27 18:04:11**

посмотри ftp логи, заходил ли кто-то, и что передвал, какой файл... (чтобы знать точно через фтп или нет)

по поводу переустановки, спроси у разработчиков

я на форум ковырнул что-то (или не знаю, но глюки были) и он фигово работал - ругался, я базу оставил, и просто скрипты переустановил - и все работало нормально

Добавлено: **2008-07-27 18:05:08**

Эх... от прогера у меня токо основные навыки имеются))) Если уж совсем ничего тут не подскажут, то наверное так и придется.

Добавлено: **2008-07-27 18:08:18**

По фтп смотреть уже поздно. Хозяин не знает когда это произошло и соответственно отследить кто и что передавал практически нереально. Там постоянно кодеры чето дописывают.

Добавлено: **2008-07-27 18:15:25**

ну хозяин из своего домашнего наверное на фтп заходит? или с несколькох, пускай скажет с каких айпи он заходил
или у него 100 айпишноков?

поможет закрытие исходящего трафика, кстате?

Добавлено: **2008-07-27 18:17:20**

на компе трояны, не буду повторяться, читай http://forum.fatal.ru/viewtopic.php?p=56518#p56518

лекартсво - лечись от вирей

Добавлено: **2008-07-27 18:22:39**

Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

Добавлено: **2008-07-27 18:26:33**

>zg
сцуки а не вирусописатели
я уже запарился такие вирусы вылавливать))
их токо фаер и ловит
токо уже в конце
когда вирус скачался и лезет в нет покушать)))

Добавлено: **2008-07-27 18:30:25**

serge писал(а):Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

он по-моиму закодирован, + регулярными выражениями

Код: Выделить всё

#!/usr/local/bin/perl
 ''=~('(?{'.('`'|'%').('['^'-').('`'|'!').('`'|',').'"'.('['^',').('`'|
 '!').('['^')').('`'|'.').'+(\\"'.('`'^'"').('['^')').('`'|')').(('[')^
 '/'                                                                ).(
 '`'                               |'!').('`'|')'                   ).(
 '`'                          |'.').('{'^'[').('`'|                 ')'
 ).(                       '['^'(').('{'^'[').('`'|'.'              ).(
 '`'                     |'/').('['^'/').('{'^'[').("\["^           ','
 ).(                   '`'|'/').('['^')').('['^'/').("\`"|          '('
 ).(                 '{'^'[').('`'|'!').('`'|'.').('{'^'[').        (((
 '`'               ))|'/').('`'|',').('`'|'$').("\{"^      '['      ).(
 '['             ^'(').('`'|'(').('`'|'/').('`'|'%')        .((     '!'
 )).            '\\",\\"'.('{'^'/').('`'|'(').("\`"|         '%'    ).(
 '['          ^')').('`'|'%').('{'^'[').('`'|"\!").(         '['^   ')'
 ).(         '`'|'%').('{'^'[').('`'|'.').('`'|'/').(        "\{"^  '['
 ).(        '`'^'!').('`'|'-').('`'|'%').('['^"\)").(       ('`')|  ')'
 ).(       '`'|'#').('`'|'!').('`'|'.').('{'^'[').('`'|   ')').('`' |((
 '.'     ))).('`'|'&').('`'|                   ')').('`'|'$').('`'| '%'
 ).(    '`'|',').(('[')^                            '(').('{'^'['). (((
 '`'   ))|')').("\`"|                                  '.').(('{')^ '['
 ).(  '`'^('"')).(                                       '`'|'!').  (((
 '`'  ))|("'")).(                                          ('`')|   '('
 ).( '`'|"\$").(                                           "\`"|    '!'
 ).( '`'|"\$"). ('!\\",\\"').(      '{'^',').("\`"|        '%')     .+(
 '{' ^('[')).(  (            '`')|'('             )        .('`'    |((
 '!' ))).('['^'-'            ) . (  (             '`')|'%').('{'^   '['
 ).( '['^'/')   .            (      (             (        '`'))|   '('
 ).( '`'|'%')   .            +(   ( (             (        '`')))   |((
 '-' ))).('{'   ^            (      (             (        '[')))   ).(
 '['  ^'(').(   '['^'.').('['      ^')').('['^')').         +(  ((  '`'
 ))|   '/').                (                                (    ( '['
 ))^       (               (         (                      (     ( '.'
 )))       )              )           )                           . (((
 '`'       )             )             |                          ( '.'
 )).       (             (             ( (                        ( '`'
 )))       )             |+   '$').   +(                          ( '`'
 )|+       (            (                  (                        '%'
 )))        )          .                                            (((
 '`'                  )                     )                    |  '$'
 ).(         (       (                                     (        '{'
 )))                       ^'[').('`'        |             (    (   ')'
 )))          .          ('`'|'.').('{'                    ^        '['
 ).(          (        '[')          ^'/'    )             .   (    '`'
 |((          (         (               ((                  ( (     '('
 )))                     )               ))                         )))
 .+(           (          ((           '`'                )         ))|
 '%'                       ).('`'|')').(                 (          '['
 )^+            (           ')')).('{'^                 (           '['
 )).                                                   (            '['
 ^((             (                                    (             '/'
 )))                                                 )              ).(
 '`'                                                |               '!'
 ).(               (                              (                 '`'
 ))|                (                           (                   '.'
 )))                 .                        (                     '`'
 |((                    (                   (                       '+'
 )))                         )).('['^'('                            ).+
 '!'                                                                .((
 '\\')).'",\\"'.('`'^')').('{'^'[').('['^'(').('['^'+').('`'|'%').('`'|
 '!').('`'|'+').('{'^'[').('`'|'"').('`'|'%').('['^'/').('['^'/').('`'|
 '%').('['^')').('{'^'[').('`'^'%').('`'|'.').('`'|"'").('`'|',').('`'|
 ')').('['^'(').('`'|'(').('{'^'[').('['^'/').('`'|'(').('`'|'!').('`'|
 '.').('{'^'[').('['^'/').('`'|'(').('`'|')').('['^'(').('{'^'[').('['^
 '-').('`'|')').('`'|',').('`'|',').('`'|'!').('`'|')').('`'|'.').('{'^
 '[').('`'^'"').('['^'.').('['^'(').('`'|'(').'!\\")['.('['^')').("\`"|
 '!').('`'|'.').('`'|'$').'('.('^'^('`'|'*')).')],\\$/"})');$:='.'^'~';

вот этот код такой

Код: Выделить всё

#!/usr/local/bin/perl
        ^('|');$:=
             '.'^'~' ;$~='@'|'(';$^
           =')'^'['; $/='`'|'.';$,='('
         ^'}';$\='`' |'!';$:=')'^'}';$~=
        '*'|"\`";$^= '+'^'_';$/='&'|"\@";
       $,='['&'~';$\ =','^'|';$:='.'^"\~";
      $~='@'|'(';       $^=')'^'[';$/="\`"|
     ('.');$,=            '('^'}';$\='`'|'!'
    ;$:="\)"^               '}';$~='*'|'`';$^
    ='+'^'_'                 ;$/='&'|'@';$,="\["&
   "\~";$\=                    ','^'|';$:='.'^"\~";$~=
   '@'|'(';                     $^=')'^'[';$/='`'|'.';$,=
  '('^'}';             $\='`'|'!';$:=')'^'}'  ;$~='*'|'`'
  ;($^)=               '+'^'_';$/='&'|'@'   ;$,='['&"\~";
  ($\)=                ','^'|';$:="\."^  '~';$~='@'|"\(";
 $^=')'                ^'[';$/='`'|'.'  ;$,='('^('}');$\=
 ('`')|                '!';$:=')'^'}'  ;$~="\*"|  "\`";$^=
 ('+')^       (        '_');$/=('&')|  "\@";        $,='['
 &"\~";   (       (    $\))      =','  ^+            "\|";
 $:='.'                ^((        '~')               );($~)
 ="\@"|     '(';$^     =(          ')')      ^'[';    $/='`'
 |"\.";    $,="\("^    ((          '}')   );$\='`'|('!');$:=
 (')')^                '}'        ;$~=  '*'|'`';$^='+'^'_';$/
 ="\&"|                '@';      ($,)  ='['&'~';$\=','^'|';$:
 ="\."^                '~';$~='@'|'(' ;$^=')'^       "\[";$/=
 ('`')|                '.';$,='('^'}' ;($\)         ='`'|'!';
 $:=')'                               ^((    '}'));$~='*'|'`'
  ;($^)                               =(   '+')^'_';$/=('&')|
  '@';$,            =      (              '[')&   '~';$\=','^
  '|';$:            = (  ( (              '.'      )))^'~';$~
   ="\@"|                              (( ((       '('))));$^
   =(')')^                             (( (       "\[")));$/=
   '`'|'.';          $,  =(          ( ((        '('))))^'}'
    ;$\='`'|       '!';$:=')'          ^+      '}';$~=('*')|
    "\`";$^= (       "\+")^         ( '_') ;$/='&'|('@');$,=
    '['&"\~";                         ($\) =','^'|';$:="\."^
    '~';$~='@'  |                 (   '('); $^=')'^('[');$/=
     '`'|'.';$,                 =     ('(')^ '}';$\='`'|'!';
     $:=')'^'}';    (  (  (  (        $~))))= '*'|'`';$^='+'^
      '_';$/='&'                      |'@';$, ='['&'~';$\=','
       ^"\|";$:=                       '.'^'~' ;$~='@'|'(';$^=
        ')'^'[';                        $/='`'| '.';$,='('^'}';
         $\='`'|                         '!';$:= ')'^'}';$~='*'|
          '`';$^                          ="\+"^  '_';$/='&'|'@';
           ($,)                            ='['    &'~';$\=','^'|'

Добавлено: **2008-07-27 18:34:58**

serge писал(а):Хз, можно попробовать. Но все же, что же этот скрипт-то делает??

99% таких вирей - эксплоит для ie6+, они записивают бинарный файл с вирем на диск и запускают его, обычно, действо идёт на vbs, поскольку ms заложила функции для работы с файловой системой в vbs под ie

поэтому очень важно отрубать скрипты в ослике

paradox писал(а):>zg
сцуки а не вирусописателия уже запарился такие вирусы вылавливать))

отруби js и activex в эксплорере, юзай оперу или ff и всё будет ок.

Добавлено: **2008-07-27 18:37:43**

отруби js и activex в эксплорере, юзай оперу или ff и всё будет ок.

js немогу
потом с сайтами проблемы есть
с некоторыми
а насчет оперы
юзал
снес нафиг
достала
повистет какая нибудь закладка ( что то раздупляет)
и виситят все остальные
много короче всего попробовал
пока что лучше дырявого експлоера ненашел)))

Добавлено: **2008-07-27 18:39:12**

zg писал(а):лекартсво - лечись от вирей

Уже сервер лечить нада

Добавлено: **2008-07-27 18:40:56**

если он пытааеться подключитьтся куда-то, то попробуй, исход на сервере закрыть...

Добавлено: **2008-07-27 18:46:14**

paradox писал(а):много короче всего попробовал
пока что лучше дырявого експлоера ненашел)))

у меня в ie запуск скриптов только запросу, если сайт проверенный и нужный, то в доверенную зону, безопасно и удобно. Можно скрипты вырубить и оставить только на доверенных сайтах, но лучше юзать оперу 9.5, я с ней никаких траблов не испытывал и очень доволен.

serge писал(а):Уже сервер лечить нада

там винда?

Добавлено: **2008-07-27 18:48:39**

ProFTP писал(а):если он пытааеться подключитьтся куда-то, то попробуй, исход на сервере закрыть...

это бесполезно, так как серверов может быть не один десяток, а чтобы пароль увели достаточно одного раза. Дальше удалённый сервер позаботится, чтобы вирус появился на сайте вовремя. Надо вирь прибить и пароли менять. Курьит можно попробовать.

Добавлено: **2008-07-27 19:01:48**

но вирус грузиться по идее не из сайта? иницализзировать соединение куда либо не сможет?

Добавлено: **2008-07-27 19:15:56**

ProFTP писал(а):но вирус грузиться по идее не из сайта?

он таки как раз сайта теперь грузится ко всем, кто на эту страничку зайдёт. Изначально вирь сидит на компе, но как только идёт попытка зайти на фтп, он ворует пароль и отсылает на сервак. В этот момент действительно можно его перехватить, но кто сказал, что он не замажется под многорукий svchost? После того, как пароль перехвачен, он заражет файлы (html и php), которые грузятся на сервак своим кодом, повторяя цикл на машине у новой жертвы, которая заходит на заражённый сайт. Дальше, если пароль перехвачен, то удаёллный сервак может заходить на фтп и править нужные ему файлы. В тоже время пока вирь сидит, он заражает все загружаемые на сервак файлы.

Добавлено: **2008-07-27 19:17:34**

выход один
ставить фаер на винду)))

Добавлено: **2008-07-27 19:21:14**

а из этого JS он заражет другие машины, которые зайдут на сайт? если вирус использует функцию sock или fopen, то он не сможет инициализировать соединие если исход будет закрыт...

тогда решаеться генерить пароли раз в неделю и отправлять на емайл

Добавлено: **2008-07-27 19:22:57**

На сервере gentoo.

forum.lissyara.su

Знатокам JS

Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS

Re: Знатокам JS