Арбуз – проверено санэпидемстанцией

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Djalolatdin Rakhimov

значит Церт, все-таки, не помог

На тот момент помог - но что сейчас делать не ясно - опять пароль поменять чтоли? И как текст мог вклиниться между РСС-новостями?

[Alisher Umarov]

ИМХО надо хостеру сообщить срочно
очень может быть что на хосте скрипт крутится

[Evgeniy Sklyarevskiy]

Нашел! Код вставлен в файл show_rss.php - скрипт для чтения RSS - удалил, проверьте, плз.

[maniak]

У меня ваш вирус пытался изменить ветку реестра, но это если зайти в FF
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous
А вот если зайти с IE, то все зависает, переполнение буфера короче.

[Dmitry Paleev]

Уважаемый Евгений.
Могу предположить, что получив доступ к фтп Вашего сайта злоумышленник оставил на нем веб-шелл (программу для удаленного администрирования через веб-интерфейс). Тем самым, когда Вы поменяли пароли на фтп, злоумышленник воспользовался своеобразным "черным ходом" и повторно внедрил свой вредоносный код. В связи с этим, думаю целесообразным будет проверить все директории Вашего сайта на наличие посторонних файлов созданных за последнее время. Практически уверен что он/они там есть. Удалите эти файлы. Также, советую проверить все папки и файлы на установленные права чтение/запись (думаю что эту операцию нужно проводить совместно с администратором сервера).

[maniak]

А я предполагаю, что сам компьютер ЕС заражен вирусом, который отсылает пароли злоумышленнику. Затем пароль от фтп попадает в специальный php-скрипт, который произвольно затроянивает страницы сайта этим "вредоносным загрузчиком".
Ну конечно вариант с Веб-шеллом тоже актуальный...

[Eldar Ishimbaev]

Цитата:

Сообщение от Evgeniy Sklyarevskiy

Посмотрел код страницы из сети - там есть этот вирус, но он сидит между строками рсс-ленты с арбузного блога - как его удалить оттуда?

Не вирус, код. Ну я смотрю, Вы уже убрали.
1. Просканируйте свой компьютер (с которого вы ходите по FTP на свои сайты) хорошим антивирусом с актуальными базами. Возможно (а скорее всего, вероятно), что Ваш компьютер содержит трояна, который ворует Ваши пароли. Наилучший вариант - отформатировать раздел, на котором у Вас установлена ОС.
2. Смените пароли ещё раз.

[Eldar Ishimbaev]

ЕС, Дмитрий Палеев сказал правильно, проверить ваши директории нужно с админом сервера. Мы проверить не можем, к сожалению, так как доступа нет к Вашему ресурсу.

[maniak]

Цитата:

Произвольно никак не может троянить, только те, на которые разрешена запись.

Да, я это подразумевал.
Но в любом случае посторонней сетевой активности пока не заметно на сайте, пока всё нормализовалось.

[Dmitry Paleev]

Цитата:

Сообщение от maniak

А я предполагаю, что сам компьютер ЕС заражен вирусом, который отсылает пароли злоумышленнику. Затем пароль от фтп попадает в специальный php-скрипт, который произвольно затроянивает страницы сайта этим "вредоносным загрузчиком".
Ну конечно вариант с Веб-шеллом тоже актуальный...

Вариант с вирусом не исключаю, но все же придерживаюсь своей версии. PHP-ифреймеры в основном настроены на работу с index файлами потому как доступ к ресурсу они получают по фтп. А вот через веб-шелл злоумышленник возможно не смог получить доступ к Index (вероятно просто не было прав на запись), поэтому ему пришлось искать другие файлы для внедрения кода.