Wirus na stronie


(system) #1

Witam!

Od pewnego czasu mam problem z wirusem na stronie (www.sportingpoland.com). Avast "krzyczy" (co dziwne tylko czasami), że znajduje wirusa "http://hyperliteautoservices.cn" (trojan JS lub w coś tym stylu). I teraz moje pytanie jak się tego pozbyć, ponieważ odstrasza to moich użytkowników?

Dziękuję za pomoc i pozdrawiam,

Kuba


(Hindol) #2

wywal ten syf i będzie ok....

po co to tam wsadzałeś?

[/code]

jeśli nie wsadzałaś to masz wirusa na kompie


(Spam) #3
[/code]

Swoją drogą, zaglądałeś w ogóle w ten kod? Jest tam więcej whitespace'u niż samego markupu. Masakra, bez jakiegokolwiek debuggera nie ma szans tego przejrzeć…

Jeśli nie ty umieściłeś ten kod, zapewne masz dziurawy skrypt.


(system) #4

który także edytuje pliki. :?

Log:

http://www.wklej.org/id/75937

PS. co do whitespace to kolega ma jakiś durny program który takie coś robi...


(13 Alek) #5

Daj log z Combofix :arrow: instrukcja

Log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.


(Tomao) #6

Zauważyłem ostatnio wysoką aktywność botów, które atakują strony i edytują pliki na serwerze. Wykorzystują luki w darmowych, popularnych skryptach


(system) #7

Log z ComboFix:

http://www.wklej.org/id/75966/

Nie korzystam z darmowych skryptów. Obecny skrypt newsów napisał mój brat (nie jest doświadczony więc mogą być jakieś "dziury"). Już przedtem atakowały nas boty spamujące w komentarzach, pomogło dodanie tokena.

Edit: Zna ktoś jakiś debugger który naprawiłby kod strony?


(Tomao) #8

Tu już nie chodzi o skrypt newsów tylko w ogóle o skrypt całej strony. No jeżeli posiadają luki to są bardzo podatne na tego typu ataki i włamy na serwer przez boty


(system) #9

A jak można chronić się przed takimi botami?


(Spam) #10

Nauczyć się pisać bezpieczne skrypty albo dać sobie spokój z programowaniem?


(system) #11

Tylko ten kod dodało całkiem gdzie indziej niż jest jakikolwiek skrypt PHP, JS. W index.php skrypty to same include. Do żadnego innego pliku


(Tomao) #12

Jeżeli bot wejdzie na serwer to on sobie wybiera gdzie doda kod, tyle. Znam to z mojego doświadczenia. Raz zapaćkał 12 plików, a raz 80 innych :smiley:


(Goleodesign) #13

Mam ten sam problem, ostatnio miałem wirusa C:\WINDOWS\system32\userinit.exe odmiana wirusa Win32/TrojanDownloader.FakeAlert.AAB koń trojański. Usunąłem ten plik, ale co chwile dokleja mi do każdego pliku index kod taki jak był wyżej podany. Nawet po usunięciu tego wirusa kod się dokleja. Co chwilę usuwam ten kod, podmieniam ze starym niezawirusowanym plikiem index, ale już za kilka godzin/dni nadal się kod dokleja.

Jak mam to usunąć.

Będę wdzięczny za pomoc.

pozdrawiam


(Djdolar) #14

Mam identyczny problem, tylko ze to cos mi zainfekowało konto glowne i prawie wszystkie subkonta na serwerze, moja strona:

radioshow.pl

a tu log:

http://www.wklej.org/id/76154/


(Goleodesign) #15

Cały komputer przeskanowałem: http://wklej.org/hash/ad5bf6806b/

Czy to te wirusy mogły powodować że podczas wgrywania na serwery do plików index doklejał się kod Trojana? Tu kod strony, na dole kod tego trojana: http://wklej.org/hash/b01fa5da23/

Proszę o pomoc

Będę wdzięczny

pozdrawiam

Maciek


(Hindol) #16

należy rozróżnić czy plik na twoim komputerze dostaje doklejkę, czy też już na serwerze

w pierwszym przypadku proste - masz wirusa

w drugim, jest to albo dziura w skrypcie na twojej stronie, lub też zainfekowany serwer (zdarza się :wink: )