Witam od jakiegoś czasu moja strona jest atakowana przez wirusy, a konkretnie pliki strony zostają wzbogacane o niechciany skrypt. Mogę je pobrać i usunąc t skrypty bądź nadpisać wszystkie pliki świeżymi, ale mimo wszystko wciąż powracają i nie wiem jakim cudem te pliki ulegają zakażeniu, pewnie gdzieś jest luka. Może jakieś rady?
Jeśli nie masz żadnych wirusów na swoim pc, z ftp korzystasz tylko ty, masz dobre hasło na ftp, nie masz uploadu, starej wersji cms’a, oraz usuwasz wszystkie pliki to nie powinno nic złego ci się stać 
Problem w tym, że nie mam wirusów na kompie a z ftp łączyłem się dopiero po zainfekowaniu w celu usunięcia, hasło mam dobre, ale mimo wszystko usunąłem złośliwe skrypty bo skasowałem całą stronę i wgrałem świeżą przywracając tylko sprawdzone cache. Wciąż jednak strona jest zarażana, więc na 100% gdzieś jest luka, ale nie mam pojęcia gdzie. Dodam, że skrzynka email podłączona do strony sama wysyła puste emaile użytkownikom strony, więc podejrzewam, że to jej wina, ale nie mam pojęcia co z tym zrobić.
Pewnie coś na serwerze zostało. Zmień hasło, usuń wszystko łącznie z cache, bazą danych etc. I zobacz czy wtedy coś się będzie działo. Jak tak to daj log z otl’a wg instrukcji z działu, jak nic w nim nie będzie to pozostanie ci napisać do supportu twojego serwera. A jak nic po usunięciu / zmianie hasła nie będzie się dziać, to wrzuć jakiś szablon joomli etc, jak się nic nie będzie działo to wtedy dopiero wrzucasz swoje pliki (może to one są zainfekowane).
Najlepiej zaczekać aż do strony znowu coś się doda, wtedy zalogować się na ftp, sprawdzić dokładny czas modyfikacji zarażonych plików …następnie ściągnąć logi z serwera i sprawdzać co się działo w tym właśnie czasie.
Też mam ostatnio dwa przypadki infekcji zgłoszone przez klientów, w obu przypadkach pliki były nadpisywane przez ftp.
Obaj zostali poinformowani, że najprawdopodobniej mają zasyfione kompy i mają je odwirusować, a hasła do ftp pozmieniać i nie zapisywać ich w swoim kliencie ftp.
Jeden posłuchał - od tygodnia jest wszystko ok. Drugi nie posłuchał, i co kilka dni jego stronka jest wzbogacana ładnym skrypcikiem.
Miałem coś podobnego. Hasło 9 literowe, mocne, a jednak jakieś szkodniki pojawiały się na serwerze o czum nawet informowali administratorzy serwera (Interia). Po zmianie hasła był spokój przez miesiąc czyli do dzisiaj.
Dzisiaj w nocy wielokrotne wejścia na stronę przez jakiś automat.
2011-10-24 3:36:41 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:36:47 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:36:48 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:01 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:02 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:03 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:03 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:04 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:04 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:04 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:04 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:05 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:06 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:19 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:20 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:21 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:25 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:27 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:27 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:38 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:41 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:42 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:42 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:42 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:43 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:44 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:45 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:46 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:47 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:37:49 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:50 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:57 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:37:58 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:38:00 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:38:00 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:38:00 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:37 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:39 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:40 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:41 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:41 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:41 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:42 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:42 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:43 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:43 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:43 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:43 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:43 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:44 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:44 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:44 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:44 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:44 | **| 141.76.45.34 |** | proxy1.anon-online.org
2011-10-24 3:43:45 | **| 141.76.45.35 |** | proxy2.anon-online.org
2011-10-24 3:43:46 | **| 141.76.45.35 |** | proxy2.anon-online.org
I w efekcie na serwerze o godz. 3:43 pojawił się nowy plik. Z rozszerzenia pliku wynikało by, że to wygaszacz ekranu.
Jeśli ktoś miałby ochotę przetestować na własną odpowiedzialność, to podaję link do pliku: 
http://dl.dropbox.com/u/29171758/TerraMovistar-SMS.scr
Avast uznał, że jest czysty.
Dodam, że na tym samym serwerze mam dwie strony, ale tylko jedna jest atakowana. Pliki na 100% czyste.
Ten twój wygaszacz tworzy plik exe w temp
Dalej nie testowałem, bo w chwili obecnej nie mam żadnego systemu na vm
Skontaktowałem się z google i poprosiłem o szczegóły i wysłali mi na email informację, że moja strona padła ofiarą bota, który bez problemu loguje się do mojego ftp bez autoryzacji i że jeśli chcę to naprawić to najrozsądniej będzie pobrać stronę oczyścić i przenieść na inny hosting. Powiedzieli mi, że pojawił się jakiegoś rodzaju bot który zaatakował całą masę stron z forum typu phpbb, punbb, fluxbb w ostatnim czasie. Najprawdopodobniej istnieje poważna luka i nie wiem co zrobić.
To wprost nieprawdopodobne i wydaje mi się, że było by zagrożeniem dla wszystkich stron, a nie tylko forum typu phpbb itd.
Zmiana hostingu? Wynikało by z tego, że luka w zabezpieczeniach na serwerach, a jeśli nie to po co zmieniać hosting?
Próbowałeś zmienić hasło? Jeśli nie to zmień na mocniejsze i zaobserwuj jakie będą efekty.
Zmieniałem hasło wielokrotnie, ale to nic nie daje bot jak atakował tak atakował. Mimo wszystko grzebałem w liście użytkowników i znalazłem niepokojącego użytkownika, miał on bardzo nietypowy nick tzn wpisany na oślep bądź wygenerowany losowo, jako nieliczny dodał przy rejestracji stronę internetową do profilu i jego email nie istnieje ponieważ na tydzień wyłączyłem weryfikację email bo były problemy z rejestracjami. Jako że korzystam z mini forum jakim jest FluxBB to mimo iż jest dość ciekawym skryptem to jednak ma jedną ogromną wadę niema CAPTCHY, więc bot bez trudności się zarejestrował co zapewne umożliwiło mu w jakiś sposób dostęp do ftp. Badałem to dalej i odkryłem że jego ip należy do strony twojezdrowie.biz.pl. Jak wszedłem na tą stronę to chrome wyświetlił mi ostrzeżenie iż ta strona jest niebezpieczna i zawiera wirusy.
Wygląda na to, że jeżeli nie pojawi się wersja FluxBB 2.0 która ma być captchą to moja strona będzie narażona na kolejne ataki. Problem rozwiązałem kasując tego użytkownika i usuwając ftp oraz tworząc nowe o innej nazwie na które przywróciłem kopię oczyszczonej strony. Teraz pozostaje tylko czekać, aż google wykreśli moją stronę z listy zarażonych.