Wirus na stronie

system · 8 Kwiecień 2009 15:14

Witam!

Od pewnego czasu mam problem z wirusem na stronie (www.sportingpoland.com). Avast “krzyczy” (co dziwne tylko czasami), że znajduje wirusa “http://hyperliteautoservices.cn” (trojan JS lub w coś tym stylu). I teraz moje pytanie jak się tego pozbyć, ponieważ odstrasza to moich użytkowników?

Dziękuję za pomoc i pozdrawiam,

Kuba

hINDUss · 8 Kwiecień 2009 16:54

wywal ten syf i będzie ok…

po co to tam wsadzałeś?

[/code]

jeśli nie wsadzałaś to masz wirusa na kompie

Wasacz · 8 Kwiecień 2009 16:54

[/code]

Swoją drogą, zaglądałeś w ogóle w ten kod? Jest tam więcej whitespace’u niż samego markupu. Masakra, bez jakiegokolwiek debuggera nie ma szans tego przejrzeć…

Jeśli nie ty umieściłeś ten kod, zapewne masz dziurawy skrypt.

system · 8 Kwiecień 2009 17:38

który także edytuje pliki. :?

Log:

http://www.wklej.org/id/75937

PS. co do whitespace to kolega ma jakiś durny program który takie coś robi…

Dr.Cyc · 8 Kwiecień 2009 17:58

Daj log z Combofix instrukcja

Log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

tomao · 8 Kwiecień 2009 18:01

Zauważyłem ostatnio wysoką aktywność botów, które atakują strony i edytują pliki na serwerze. Wykorzystują luki w darmowych, popularnych skryptach

system · 8 Kwiecień 2009 18:17

Log z ComboFix:

http://www.wklej.org/id/75966/

Nie korzystam z darmowych skryptów. Obecny skrypt newsów napisał mój brat (nie jest doświadczony więc mogą być jakieś “dziury”). Już przedtem atakowały nas boty spamujące w komentarzach, pomogło dodanie tokena.

Edit: Zna ktoś jakiś debugger który naprawiłby kod strony?

tomao · 8 Kwiecień 2009 18:57

Tu już nie chodzi o skrypt newsów tylko w ogóle o skrypt całej strony. No jeżeli posiadają luki to są bardzo podatne na tego typu ataki i włamy na serwer przez boty

system · 8 Kwiecień 2009 18:58

A jak można chronić się przed takimi botami?

Wasacz · 8 Kwiecień 2009 19:10

Nauczyć się pisać bezpieczne skrypty albo dać sobie spokój z programowaniem?

system · 8 Kwiecień 2009 19:19

Tylko ten kod dodało całkiem gdzie indziej niż jest jakikolwiek skrypt PHP, JS. W index.php skrypty to same include. Do żadnego innego pliku nie dodało. Skrypt był pisany z wszystkimi możliwymi filtrami które polecali użytkownicy forum.php.pl.

tomao · 8 Kwiecień 2009 19:23

Jeżeli bot wejdzie na serwer to on sobie wybiera gdzie doda kod, tyle. Znam to z mojego doświadczenia. Raz zapaćkał 12 plików, a raz 80 innych

Goleo · 9 Kwiecień 2009 06:53

Mam ten sam problem, ostatnio miałem wirusa C:\WINDOWS\system32\userinit.exe odmiana wirusa Win32/TrojanDownloader.FakeAlert.AAB koń trojański. Usunąłem ten plik, ale co chwile dokleja mi do każdego pliku index kod taki jak był wyżej podany. Nawet po usunięciu tego wirusa kod się dokleja. Co chwilę usuwam ten kod, podmieniam ze starym niezawirusowanym plikiem index, ale już za kilka godzin/dni nadal się kod dokleja.

Jak mam to usunąć.

Będę wdzięczny za pomoc.

pozdrawiam

djdolar · 9 Kwiecień 2009 10:23

Mam identyczny problem, tylko ze to cos mi zainfekowało konto glowne i prawie wszystkie subkonta na serwerze, moja strona:

radioshow.pl

a tu log:

http://www.wklej.org/id/76154/

Goleo · 9 Kwiecień 2009 19:25

Cały komputer przeskanowałem: http://wklej.org/hash/ad5bf6806b/

Czy to te wirusy mogły powodować że podczas wgrywania na serwery do plików index doklejał się kod Trojana? Tu kod strony, na dole kod tego trojana: http://wklej.org/hash/b01fa5da23/

Proszę o pomoc

Będę wdzięczny

pozdrawiam

Maciek

hINDUss · 10 Kwiecień 2009 00:31

należy rozróżnić czy plik na twoim komputerze dostaje doklejkę, czy też już na serwerze

w pierwszym przypadku proste - masz wirusa

w drugim, jest to albo dziura w skrypcie na twojej stronie, lub też zainfekowany serwer (zdarza się )