Uwaga na wirusa

[RybakWedka]

Jak to sprawdzić czy nie dopisało się do kodu stron? jaki to kod wkleja? taki sam wszędzie czy różne? proszę o przykłady.

[Carnagge]

Masz przyklad w pierwszym poscie - na samym koncu pliku index dopisuje:

<img heigth="1" width="1" border="0" src="https://imgaaa.net/t.php?id=10756">

Jedyne roznice to ten numer jaki jest po id=

[Arkadiusz]

Carnagge, chyba chodzi o iframe (a nie img)?

Ewentualnie spotykałem się z doklejaniem <javascript>

[Kolessdz]

Mam to samo i co najśmieszniejsze nie wgrywałem nic na serwer od miesięcy a dziś strony nie działają tylko ten komunikat się wyświetla że strona może powodować zagrożenie:).

[EliaSh]

Arkadiusz - w tym przypadku chodzi o <img> też sie z tym męczyłem, z głównego serwisu pousuwałem ten syf, ale nie zauważyłem, że na kilku subdomenach też było zasyfione i teraz główna domena w google oznaczona jest jako "Ta witryna mogła paść ofiarą ataku." kurde ciekawe ile teraz będe czekał na zniknięcie komunikatu :/

[Arkadiusz]

Heh, to ciekawe. Przecież taki "wirus" może co najwyżej zjeść transfer jakiejś stronie, żadnej szkody nie wyrządzi

[mkr]

Heh, to ciekawe. Przecież taki "wirus" może co najwyżej zjeść transfer jakiejś stronie, żadnej szkody nie wyrządzi

Infekuje użytkowników, przekierowuje na inne strony.

Nawet przez <IMG może wykorzystać luki w GDI+ na niezaktualizowanych maszynach.

[FiKaS]

Panowie również mam ten syf :-)

Macie radę jak skutecznie się tego pozbyć? na jednym serwie mam z 50 domen i wszystko zasyfione !!! co więcej dziś jak patrzałem, to gdzieś musi siedzieć skrypt co tworzy syf na innych domenach/folderach :-) wczoraj usuwałem dziś patrze na kilka domenek - daty modyfikacji dzisiejsze...

Pierwszy atak mialem 31 marca / 1 kwietnia, pousuwalem gdzie zauważyłem i myślałem że spokój następna jazda 1 maja...

Jakieś pomysły ?

[Irek]

Zanim znajdziecie sposób na to świństwo, może warto mieć szybko informację o doklejeniu czegoś do kodu

if (filesize('index.php')!=1222) mail('adres@wp.pl', 'Wirus', 'Plik index.php został zmieniony.', "MIME-Version: 1.0\r\nFrom: adres@wp.pl\r\n");

1222 - wielkość sprawdzanego pliku w bajtach.

Zapisać do pliku PHP i ustawić wywoływanie go w cronie.

[FiKaS]

Irek na Ciebie to zawsze można liczyć !!!

[Jastrzab]

Fikas, a trzymałeś hasła w filezilli lub innym programie, czy jakoś inaczej Ci wlazł?

[FiKaS]

Nic nie trzymałem...

TC korzystałem do kwietnia, przerzuciłem się na WINSCP ale nadal to samo...

[sebau]

ja nie trzymam pelnych haseł w TC tylko przy wchodzeniu do zapisanego hasla dopisuje sekwencje znaków. To dziadostwo i tak się dostało na serwer. Jakiś keyloger albo z innego miejsca je wydlubał. Dla bezpieczeństwa zmień hasła, po sprawdzeniu kompa antywirem i combofixem. Istnieje możliwość, ze na hostingu ktoś inny wpuścił to dziadostwo - ale na początku szukajmy winy u siebie na kompie. Ciesz się, że nie usuwa tych indexów - tylko coś do nich dopisuje

[NieW]

A czy przypadkiem "infekowane strony" nie są pod kontrolą cpanelu?

[sebau]

nie wiem jak u FiKaS-a ale u mnie to były najróżniejsze panele. W firmie używamy różnych hostingów i serwerów i zainfekowane były tylko te do których dostęp miał jeden komp - mimo, ze nie miał zapamiętanych haseł. Na początku kwietnia były infekcje. Zmieniliśmy prawie wszedzie hasla zeby zobaczyć co zrobi z domeną do które nie zmienimy hasła. Po dwóch tygodniach doczepił "ogonek". Także wirus wysyła gdzieś te hasełka na inne serwery lub komputery zombie i z nich ponownie infekuje.