Od kilku dni zauważyłem że coś jest nie tak z moją stroną. Zaistniała sytuacja zgłosiłem już do Administratora hostingu gdzie jest strona, okazało się że są próby włamań z adresów IP zagranicznych (jak by inaczej). Zostało zmienione hasło, było chwilę spokoju i znów problem wrócił.
Zauważyłem że jak się ładuje strona to na dolnym pasku po lewej stronie tam gdzie pisze Zakończono widnieją takie informacje jak na screenach poniżej:
. To samo ma odzwierciedlenie do innej strony co też się pojawia na pasku. Na pewno takich linków wcześniej nie było podczas ładowania strony.
Jak wrzuciłem obie te strony do Google to w obu przypadkach można przeczytać
.
Sprawdziłem - pliki HTML/PHP są czyste na hostingu, nie mają żadnych dodanych do HEAD lub BODY linków przekierowujących.
Co to jest i skąd to się wzięło?. I co najważniejsze jak się tego pozbyć?.
To są jakieś wirusy. Coś mnie podkusiło żeby zobaczyć Twoją stronę (jak dziecko xD) i Avast to pół domu obudził (czujny “zwierzaczek”)
Co do pochodzenia tych linków możliwe, że ty masz jakiegoś “gościa” na komputerze, który podsysa hasła do FTP. Istnieje także możliwość, że to coś z serwerem.
2009-11-03 23:39:47 SYSTEM 1456 Sign of "HTML:Iframe-inf" has been found in "http://lew.wsinf.edu.pl/~plik/" file.
2009-09-02 18:29:44 SYSTEM 1520 Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-06-30/logoffmb6.jpg\{gzip}" file.
2009-09-02 18:29:44 SYSTEM 1520 Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-02/ue70.png\{gzip}" file.
2009-09-02 18:29:44 SYSTEM 1520 Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-04/Student.jpg\{gzip}" file.
2009-09-02 18:29:17 SYSTEM 1520 Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-13/Gladiator.jpg\{gzip}" file.
2009-11-04 22:52:34 SYSTEM 1480 Sign of "HTML:IFrame-JQ [Trj]" has been found in "http://help-developer.com/wp-includes/js/jquery/jquery.js?ver=1.3.2" file.
2009-10-29 23:36:20 SYSTEM 1432 Sign of "HTML:Illiframe-C [Trj]" has been found in "http://www.lookbody.pl/\{gzip}" file.
2009-11-21 23:54:05 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/menu.js" file.
2009-11-21 23:54:07 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/menu.js" file.
2009-11-21 23:54:05 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/partnerzy.js" file.
2009-11-21 23:54:06 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/lightbox.js" file.
2009-11-21 23:54:05 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/scriptaculous.js?load=effects" file.
2009-11-21 23:54:06 SYSTEM 1488 Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/scriptaculous.js?load=effects" file.
2009-08-09 12:33:13 SYSTEM 1484 Sign of "JS:FakeAV-AH [Trj]" has been found in "http://borive.cn/?wm=70106" file.
Tyle zdążyło się zapisać w Avaście bo od razu przerwałem połączenie ze stroną. Możliwe, że było by tego więcej.
Niechciane linki są dynamicznie tworzone przez JavaScript i normalnie nie widać ich w kodzie, ale w kodzie wygenerowanym przez dodatek Web Developer już są widoczne. Zresztą sam sobie obejrzyj:
BTSY.EU - Stacje Bazowe Telefonii Komórkowej w Tarnowie
Używajcie NoScripta. Zabezpiecza przed takimi syfami.
Panowie, przyznam że zaskoczony jestem, nie miałem pojęcia że to tak wygląda.
Wrzuciłem całą czystą stronę z kopii, z czystymi plikami JS. WooQash mam nadzieje że nic nie złapałeś, mi osobiście Avira Anti Vir Personal też nic nie wykrywa na stronie.
Dzięki absens za kod, wyślę to Adminowi hostingu.
Takie pytanka mam:
jak teraz bezpiecznie logować się na hosting przez FTP żeby hasła nie trzymać zapisanego w programie?.