Dziwne linki do stron podczas ładowania się strony


(asziatko) #1

Witam,

Od kilku dni zauważyłem że coś jest nie tak z moją stroną. Zaistniała sytuacja zgłosiłem już do Administratora hostingu gdzie jest strona, okazało się że są próby włamań z adresów IP zagranicznych (jak by inaczej). Zostało zmienione hasło, było chwilę spokoju i znów problem wrócił.

Zauważyłem że jak się ładuje strona to na dolnym pasku po lewej stronie tam gdzie pisze Zakończono widnieją takie informacje jak na screenach poniżej:

rasxae.gif

rasxaa.gif

. To samo ma odzwierciedlenie do innej strony co też się pojawia na pasku. Na pewno takich linków wcześniej nie było podczas ładowania strony.

Jak wrzuciłem obie te strony do Google to w obu przypadkach można przeczytać

.

Sprawdziłem - pliki HTML/PHP są czyste na hostingu, nie mają żadnych dodanych do HEAD lub BODY linków przekierowujących.

Co to jest i skąd to się wzięło?. I co najważniejsze jak się tego pozbyć?.


(IcyMat) #2

To są jakieś wirusy. Coś mnie podkusiło żeby zobaczyć Twoją stronę (jak dziecko xD) i Avast to pół domu obudził (czujny "zwierzaczek") :wink:

Co do pochodzenia tych linków możliwe, że ty masz jakiegoś "gościa" na komputerze, który podsysa hasła do FTP. Istnieje także możliwość, że to coś z serwerem.


(asziatko) #3

A Avira nic nie sygnalizuje. Owszem sygnalizowała wcześniej wirusa/trojana ale zrobiłem format, na nowo jest system a problem dalej jest.

Nie dobrze, ale dobrze że mi powiedziałeś że to Avast wykrywa, a możesz mi napisać co wykrywa jakie wirusy?.


(IcyMat) #4
2009-11-03 23:39:47	SYSTEM	1456	Sign of "HTML:Iframe-inf" has been found in "http://lew.wsinf.edu.pl/~plik/" file.  

2009-09-02 18:29:44	SYSTEM	1520	Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-06-30/logoffmb6.jpg\{gzip}" file.  

2009-09-02 18:29:44	SYSTEM	1520	Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-02/ue70.png\{gzip}" file.  

2009-09-02 18:29:44	SYSTEM	1520	Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-04/Student.jpg\{gzip}" file.  

2009-09-02 18:29:17	SYSTEM	1520	Sign of "HTML:Iframe-inf" has been found in "http://pixhost.eu/avaxhome/avaxhome/2007-08-13/Gladiator.jpg\{gzip}" file.  

2009-11-04 22:52:34	SYSTEM	1480	Sign of "HTML:IFrame-JQ [Trj]" has been found in "http://help-developer.com/wp-includes/js/jquery/jquery.js?ver=1.3.2" file.  

2009-10-29 23:36:20	SYSTEM	1432	Sign of "HTML:Illiframe-C [Trj]" has been found in "http://www.lookbody.pl/\{gzip}" file.  

2009-11-21 23:54:05	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/menu.js" file.  

2009-11-21 23:54:07	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/menu.js" file.  

2009-11-21 23:54:05	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/js/partnerzy.js" file.  

2009-11-21 23:54:06	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/lightbox.js" file.  

2009-11-21 23:54:05	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/scriptaculous.js?load=effects" file.  

2009-11-21 23:54:06	SYSTEM	1488	Sign of "HTML:Script-inf" has been found in "http://www.btsy.eu/lightbox/scriptaculous.js?load=effects" file.  

2009-08-09 12:33:13	SYSTEM	1484	Sign of "JS:FakeAV-AH [Trj]" has been found in "http://borive.cn/?wm=70106" file.

Tyle zdążyło się zapisać w Avaście bo od razu przerwałem połączenie ze stroną. Możliwe, że było by tego więcej.


(Zbyszekborkowski) #5

Niechciane linki są dynamicznie tworzone przez JavaScript i normalnie nie widać ich w kodzie, ale w kodzie wygenerowanym przez dodatek Web Developer już są widoczne. Zresztą sam sobie obejrzyj:

BTSY.EU - Stacje Bazowe Telefonii Komórkowej w Tarnowie

Używajcie NoScripta. Zabezpiecza przed takimi syfami.


(WooQash) #6

Mi kaspersky nic nie wskazał. Mam nadzieje, że po wejściu na Twoją stronę nie złapałem syfa ??


(Hindol) #7

masz zarażone pliki .js

mają doklejkę:

document.write('

przeskanuj komputer (prawdopodobnie masz trojana który przechwytuje hasła - NIE zapisuj hasła do ftp w ŻADNYM programie ftp który używasz)

przywróć stronę z czystej kopii (lub ręcznie znajdź i pokasuj wszystkie wstawki)

powiadom admina tego serwera (bywa że syf jest na serwerze i tam zaraża pliki)


(asziatko) #8

Panowie, przyznam że zaskoczony jestem, nie miałem pojęcia że to tak wygląda.

Wrzuciłem całą czystą stronę z kopii, z czystymi plikami JS. WooQash mam nadzieje że nic nie złapałeś, mi osobiście Avira Anti Vir Personal też nic nie wykrywa na stronie.

Dzięki absens za kod, wyślę to Adminowi hostingu.

Takie pytanka mam:

  1. jak teraz bezpiecznie logować się na hosting przez FTP żeby hasła nie trzymać zapisanego w programie?.

  2. co to jest NoScripta i jak z niego korzystać?.


(Hindol) #9
  1. zazwyczaj trojany wykradają hasła już zapisane w programie do FTP, po prostu do ważnych rzeczy ich tam nie zapisuj, wpisuj je ręcznie

zainstaluj też u siebie na komputerze antywirus, przeskanuj komputer. Jeśli będziesz miał czysty komputer nie ma się co martwić o hasła

  1. NoScript to dodatek do Firefoxa, pozwala zablokować wszystkie/wybrane skrypty JavaScript, zwiększając tym samym bezpieczeństwo przeglądarki

(asziatko) #10

Witam,

Opanowałem sprawę, wszystko OK jest. Dzięki za pomoc!.