Вирусный код в html-коде всех страниц. Не от САПЫ ли? вред: CG-GOOGLE-ANALYTICS.ru

[Дмитрий Обзоров]

Всем здравствуйте.
Сайт на голом html заразили вредоносным кодом.
Пароль к хостингу поменял, код удалил, поэтому не скопирую все сюда, но: через iframe подгружался файл .js Маскировалось под Гугл Аналитикс, вредоносный сайт: cg-google-analytics.ru

Поиск показал, что следующие домены были зарегистрированы 27 - 28 сентября 2011:

CA-GOOGLE-ANALYTICS.ru
CB-GOOGLE-ANALYTICS.ru
CC-GOOGLE-ANALYTICS.ru
CD-GOOGLE-ANALYTICS.ru
CE-GOOGLE-ANALYTICS.ru
CF-GOOGLE-ANALYTICS.ru
CG-GOOGLE-ANALYTICS.ru
CH-GOOGLE-ANALYTICS.ru
и т.д.

Мог пенять только на 3 вещи: вирус на компе, вирус через хостинг, вирус через sape.ru (т.к. html страницы обновляются автоматически, в акке сапы указан логин и пароль к хостингу)

Скачал по ftp все страницы сайта, открываю через Front Page (олдскул) - НЕТ там этого коды вредного, но есть на сайте если "Просмотреть хтмл-код страницы". Внимание: ОТКЛЮЧАЮ интернет, заново открываю эти страницы во Front Page - вредоносный код виден. Чудеса.

Короче все исправил.

Виновник вирус на компе или Сапа мне так обновила страницы - не знаю. Но пишу здесь, может кто через поиск найдет этот топик и что-то для себя вынесет.

А администрацию САПЫ прошу проверить не затисался ли у них вирус.

[Последний Герой]

Цитата:

Сообщение от Дмитрий Обзоров

Скачал по ftp все страницы сайта, открываю через Front Page (олдскул) - НЕТ там этого коды вредного, но есть на сайте если "Просмотреть хтмл-код страницы". Внимание: ОТКЛЮЧАЮ интернет, заново открываю эти страницы во Front Page - вредоносный код виден. Чудеса.

Так разве это не подтверждение, что код появился в период нахождения файлов на Вашем компьютере? Вы скачали нормальные файлы, отключились от интернета, и в них появился код.

Незамедлительно следует искать проблему в компьютере.

[Дмитрий Обзоров]

нет
я ПРОВЕРИЛ html файлы на компе - все чистые. Да и не обновлял я сайт, чтоб сначала заразились html файлы а потом я их закинул в инет на сайт.

Потом я открыл CuteFTP, скачал с инета все файлы, и они были заражены. Вот только при рабочем инете во Фронт Пейдже эти скачанные зараженные файлы были визуально чисты, ПРОШУ ЗАМЕТИТЬ, даже ссылок САПОВСКИХ не было!!! А когда инет отключил - стал виден весь код вместе с ссылками и вредоносным кодом. ДРУГИЕ файлы, который были на компе - БЕЗ вредоносного кода, их я тоже проверил выборочно с отключенным инетом.

Вывод: либо вирус на компе и он получил пароль к фтп, и уже там сам внедрил свой код; либо все же через сапу. Смущает только то что вредный код при включеном инете не был виден ТАКЖЕ КАК И ССЫЛКИ САПЫ, понимаете?

[Invasion]

Проверьте компьютер программой СureIt.

[zhegloff]

Цитата:

Сообщение от Дмитрий Обзоров

Вот только при рабочем инете во Фронт Пейдже эти скачанные зараженные файлы были визуально чисты, ПРОШУ ЗАМЕТИТЬ, даже ссылок САПОВСКИХ не было!!! А когда инет отключил - стал виден весь код вместе с ссылками и вредоносным кодом.

бред какой-то.

[Салоед]

Подтверждаю завирусованность!!! Тоже сайты на голом ХТМЛ заражены. Только что обнаружил. Елки-моталки. У меня постоянно лицензионный доктор Веб стоит и никаких подозрительных штук не было... Может действительно через сапу пролез?

[Последний Герой]

Цитата:

Сообщение от Салоед

Может действительно через сапу пролез?

тогда как объяснить

Цитата:

Сообщение от Дмитрий Обзоров

Смущает только то что вредный код при включеном инете не был виден ТАКЖЕ КАК И ССЫЛКИ САПЫ, понимаете?

???

[spellen]

Цитата:

Сообщение от Дмитрий Обзоров

Всем здравствуйте.
Сайт на голом html заразили вредоносным кодом.
Пароль к хостингу поменял, код удалил, поэтому не скопирую все сюда, но: через iframe подгружался файл .js Маскировалось под Гугл Аналитикс, вредоносный сайт: cg-google-analytics.ru

Поиск показал, что следующие домены были зарегистрированы 27 - 28 сентября 2011:

CA-GOOGLE-ANALYTICS.ru
CB-GOOGLE-ANALYTICS.ru
CC-GOOGLE-ANALYTICS.ru
CD-GOOGLE-ANALYTICS.ru
CE-GOOGLE-ANALYTICS.ru
CF-GOOGLE-ANALYTICS.ru
CG-GOOGLE-ANALYTICS.ru
CH-GOOGLE-ANALYTICS.ru
и т.д.

Мог пенять только на 3 вещи: вирус на компе, вирус через хостинг, вирус через sape.ru (т.к. html страницы обновляются автоматически, в акке сапы указан логин и пароль к хостингу)

Скачал по ftp все страницы сайта, открываю через Front Page (олдскул) - НЕТ там этого коды вредного, но есть на сайте если "Просмотреть хтмл-код страницы". Внимание: ОТКЛЮЧАЮ интернет, заново открываю эти страницы во Front Page - вредоносный код виден. Чудеса.

Короче все исправил.

Виновник вирус на компе или Сапа мне так обновила страницы - не знаю. Но пишу здесь, может кто через поиск найдет этот топик и что-то для себя вынесет.

А администрацию САПЫ прошу проверить не затисался ли у них вирус.

Проверил систему обновления, ничего подозрительного не нашлось.
Попросите у хостера логи доступа по фтп и скиньте в личку.

Добавлено через 22 секунды

Цитата:

Сообщение от Салоед

Подтверждаю завирусованность!!! Тоже сайты на голом ХТМЛ заражены. Только что обнаружил. Елки-моталки. У меня постоянно лицензионный доктор Веб стоит и никаких подозрительных штук не было... Может действительно через сапу пролез?

Попросите у хостера логи доступа по фтп и скиньте в личку.

[lifeshifter]

Та же история, все проекты статические с вредоносным кодом. Седня в саппорт писал тоже спрашивал как так? на серваке еще 20 сайтов не продающих ссылки они в порядке. А тут все продающие в 1 день с ботвой этой стали.

[Diamond]

+1. И в меня попало. Сайт на народе.
Троян JS/kryptik.cp
Заражение 29.09.2011 в 00.15.