Wirus na stronie

[czarnuch.skc]

Witam serdecznie,

To mój pierwszy temat na tym forum, ale już od dłuższego czasu je przeglądam.

Niestety nie są to dla mnie najlepsze okoliczności, ale do rzeczy:

Na stronie mojego sklepu pojawił się wirus. Niestety nie jestem w stanie powiedzieć kiedy. Stronka działa już mniej więcej od 1 miesiąca, a ja wirusa zauważyłem dopiero wczoraj przy zmianie antywirusa na Avasta. Popytałem znajomych, którzy używają Avasta i również wyskoczył im komunikat o wirusie. Co dziwne nie pojawia się już ponownie. Zainstalowałem Avasta na innych moich kompach i po pierwszym wejściu na stronkę pojawia się komunikat o zagrożeniu, a później już nie.

Za każdym razem jest to inny komunikat przykładowe screeny:

By czarnuch_skc at 2012-07-07

By czarnuch_skc at 2012-07-07

Comodo ani AVG nie wykrywają mi tego zagrożenia. Natomiast na stronie:

https://www.avgthreatlabs.com/sitereports/

Pojawia się info o Blackhole Exploit Kit.

Skorzystałem z porad znalezionych na różnych stronach traktujących o <iframe> i tego typu wirusach, skorzystałem ze skryptu umieszczonego w którymś z tematów na tym forum z różnymi modyfikacjami, a także ze skryptu z jakiejś zagranicznej stronie. Przeszukiwałem niektóre pliki również ręcznie.

Niestety bez skutku. Już nie wiem co robić...

Czy ktoś na forum jest w stanie mi pomóc? Sytuacja jest kryzysowa, gdyż sklep jest nowy i z miejsca tracimy zaufanie klientów, a niedługo pewne blogerki będą nas reklamować i takie info o wirusie rozniesie się błyskawiczne:/

Bardzo proszę o pomoc.

Pozdrawiam

[Mion]

@Czy ktoś na forum jest w stanie mi pomóc?

Za pewne nie jedna osoba w tym i ja mogę się podjąć lokalizacji i usunięcia wstawionego kodu ...

[MixKosa]

To może ci pomóc przeczytaj

https://www.symantec.com/connect/blogs/blackhole-exploit-kit-gets-upgrade-pseudo-random-domains

To jakiś ładny kanał w necie dowiedziałem się co to jest ale radzę to usuń bo jak ktoś już dokonał transakcji bo masz przekichane

[Gość Voyager]

Odnośnie blachole: https://niebezpiecznik.pl/post/0day-na-internet-explorera-dostepny-w-exploit-packu-blackhole/

Jest to pakiet exploitów które badają dany system w poszukiwaniu podatności i wstrzykują syfy. Jeśli ktoś nie ma AV albo ma go słabego i system niezaktualizowany (i przeglądarki) to mu sam syf wchodzi i podłącza komputer do botnetu.

Fajnie jakbyś podał adres bo takto sobie można gdybać. I dokładnie przejrzeć zawartość FTP (pewnie jakiś syf wykradł hasło i wszczepił w pliczki swojego loadera)

[czarnuch.skc]

Sklep jest tu.

[M!s!ek]

Nie znam struktury plików Twojego sklepu ale wirusjest za znacznikiem </body>.

[Były... viper134]

Ja miałem wyjątkowo paskudnego - ramka 1x1 która pojawiała się raz... wykrywały ją tylko niektóre antywirusy - sprawdź czy nie masz w głównym katalogu (i CGI-BIN) jakiś dodatkowych plików.

Przestań urzywać Total Comandera zamień go na BitKinex

Pozatym czym prędzej zmień login, hasło do panelu, FTP i baz (jeżeli możesz to jakoś ścieżkę dostępu do plików).

[Gość Voyager]

Nie znam struktury plików Twojego sklepu ale wirusjest za znacznikiem </body>.

Stronę z syga też byś sobie ogarnął:

Witryna

sandomierz.325.pl

zawiera złośliwe oprogramowanie. Otwarcie tej witryny grozi zainfekowaniem komputera wirusem.

Według informacji Google kontynuowanie grozi zainstalowaniem na komputerze złośliwego oprogramowania. Jeśli witryna już była odwiedzana lub jest zaufana, istnieje możliwość, że niedawno doszło do włamania do niej przez hakera. W tej chwili odradzamy kontynuowanie – możesz spróbować ponownie jutro albo przejść do innej witryny.

Powiadomiliśmy już właściciela witryny

sandomierz.325.pl

, że znaleźliśmy w niej złośliwe oprogramowanie. Więcej informacji na temat problemów stwierdzonych pod adresem sandomierz.325.pl zawiera

%7Bvar%20c=k(arguments,2);return%20function()%7Breturn%20b.apply(a,c)%7D%7Dfunction%20m(a,%7Bvar%20c=new%20n(;for(c.f=%5Ba%5D;c.f.length;)%7Bvar%20e=c,d=c.f.shift();e.g(d);for(d=d.firstChild;d;d=d.nextSibling)d.nodeType==1&&e.f.push(d)%7D%7Dfunction%20n(a)%7Bthis.g=a%7Dfunction%20o(a)%7Ba.style.display=%22%22%7Dfunction%20p(a)%7Ba.style.display=%22none%22%7D;var%20q=%22%3A%22,r=/%5Cs*;%5Cs*/;function%20s()%7Bthis.i.apply(this,arguments)%7Ds.prototype.i=function(a,%7Bif(!this.a)this.a=%7B%7D;if(%7Bvar%20c=this.a,e=b.a,d;for(d%20in%20e)c%5Bd%5D=e%5Bd%5D%7Delse%20for(c%20in%20d=this.a,e=t,e)d%5Bc%5D=e%5Bc%5D;this.a.$this=a;this.a.$context=this;this.d=typeof%20a!=%22undefined%22&&a!=i%3Fa%3A%22%22;if(!b)this.a.$top=this.d%7D;var%20t=%7B$default%3Ai%7D,u=%5B%5D;function%20v(a)%7Bfor(var%20b%20in%20a.a)delete%20a.a%5Bb%5D;a.d=i;u.push(a)%7Dfunction%20w(a,b,c)%7Btry%7Breturn%20b.call(c,a.a,a.d)%7Dcatch(e)%7Breturn%20t.$default%7D%7D%0Afunction%20x(a,b,c,e)%7Bif(u.length%3E0)%7Bvar%20d=u.pop();s.call(d,b,a);a=d%7Delse%20a=new%20s(b,a);a.a.$index=c;a.a.$count=e;return%20a%7Dvar%20y=%22a_%22,z=%22b_%22,A=%22with%20(a_)%20with%20(b_)%20return%20%22,D=%7B%7D;function%20E(a)%7Bif(!D%5Ba%5D)try%7BD%5Ba%5D=new%20Function(y,z,A+a)%7Dcatch(%7B%7Dreturn%20D%5Ba%5D%7Dfunction%20F(a)%7Bfor(var%20b=%5B%5D,a=a.split®,c=0,e=a.length;c%3Ce;++c)%7Bvar%20d=a%5Bc%5D.indexOf(q);if(!(d%3C0))%7Bvar%20f;f=a%5Bc%5D.substr(0,d).replace(/%5E%5Cs+/,%22%22).replace(/%5Cs+$/,%22%22);d=E(a%5Bc%5D.substr(d+1));b.push(f,d)%7D%7Dreturn%20b%7D;var%20G=%22jsinstance%22,H=%22jsts%22,I=%22*%22,J=%22div%22,K=%22id%22;function%20L()%7B%7Dvar%20M=0,N=%7B0%3A%7B%7D%7D,P=%7B%7D,Q=%7B%7D,R=%5B%5D;function%20S(a)%7Ba.__jstcache%7C%7Cm(a,function(a)%7BT(a)%7D)%7Dvar%20U=%5B%5B%22jsselect%22,E%5D,%5B%22jsdisplay%22,E%5D,%5B%22jsvalues%22,F%5D,%5B%22jsvars%22,F%5D,%5B%22jseval%22,function(a)%7Bfor(var%20b=%5B%5D,a=a.split®,c=0,e=a.length;c%3Ce;++c)if(a%5Bc%5D)%7Bvar%20d=E(a%5Bc%5D);b.push(d)%7Dreturn%20b%7D%5D,%5B%22transclude%22,function(a)%7Breturn%20a%7D%5D,%5B%22jscontent%22,E%5D,%5B%22jsskip%22,E%5D%5D;%0Afunction%20T(a)%7Bif(a.__jstcache)return%20a.__jstcache;var%20b=a.getAttribute(%22jstcache%22);if(b!=i)return%20a.__jstcache=N%5Bb%5D;for(var%20b=R.length=0,c=U.length;b%3Cc;++%7Bvar%20e=U%5Bb%5D%5B0%5D,d=a.getAttribute(e);Q%5Be%5D=d;d!=i&&R.push(e+%22=%22+d)%7Dif(R.length==0)return%20a.setAttribute(%22jstcache%22,%220%22),a.__jstcache=N%5B0%5D;var%20f=R.join(%22&%22);if(b=P%5Bf%5D)return%20a.setAttribute(%22jstcache%22,,a.__jstcache=N%5Bb%5D;for(var%20h=%7B%7D,b=0,c=U.length;b%3Cc;++%7Bvar%20d=U%5Bb%5D,e=d%5B0%5D,g=d%5B1%5D,d=Q%5Be%5D;d!=i&&(h%5Be%5D=g(d))%7Db=%22%22+%20++M;a.setAttribute(%22jstcache%22,;N%5Bb%5D=%0Ah;P%5Bf%5D=b;return%20a.__jstcache=h%7Dfunction%20V(a,%7Ba.h.push(;a.k.push(0)%7Dfunction%20W(a)%7Breturn%20a.c.length%3Fa.c.pop()%3A%5B%5D%7D%0AL.prototype.e=function(a,%7Bvar%20c=X(,e=c.transclude;if(e)(c=Y(e))%3F(b.parentNode.replaceChild(c,,e=W(this),e.push(this.e,a,c),V(this,e))%3Ab.parentNode.removeChild(;else%20if(c=c.jsselect)%7Bvar%20c=w(a,c,,d=b.getAttribute(G),f=!1;d&&(d.charAt(0)==I%3F(d=parseInt(d.substr(1),10),f=!0)%3Ad=parseInt(d,10));var%20h=c!=i&&typeof%20c==%22object%22&&typeof%20c.length==%22number%22,e=h%3Fc.length%3A1,g=h&&e==0;if(h)if(g)d%3Fb.parentNode.removeChild(%3A(b.setAttribute(G,%22*0%22),p();else%20if(o(,d===i%7C%7Cd===%22%22%7C%7Cf&&d%3Ce-1)%7Bf=W(this);%0Ad=d%7C%7C0;for(h=e-1;d%3Ch;++d)%7Bvar%20j=b.cloneNode(!0);b.parentNode.insertBefore(j,;Z(j,c,d);g=x(a,c%5Bd%5D,d,e);f.push(this.b,g,j,v,g,i)%7DZ(b,c,d);g=x(a,c%5Bd%5D,d,e);f.push(this.b,g,b,v,g,i);V(this,f)%7Delse%20d%3Ce%3F(f=c%5Bd%5D,Z(b,c,d),g=x(a,f,d,e),f=W(this),f.push(this.b,g,b,v,g,i),V(this,f))%3Ab.parentNode.removeChild(;else%20c==i%3Fp(%3A(o(,g=x(a,c,0,1),f=W(this),f.push(this.b,g,b,v,g,i),V(this,f))%7Delse%20this.b(a,%7D;%0AL.prototype.b=function(a,%7Bvar%20c=X(,e=c.jsdisplay;if(e)%7Bif(!w(a,e,)%7Bp(;return%7Do(%7Dif(e=c.jsvars)for(var%20d=0,f=e.length;d%3Cf;d+=2)%7Bvar%20h=e%5Bd%5D,g=w(a,e%5Bd+1%5D,;a.a%5Bh%5D=g%7Dif(e=c.jsvalues)%7Bd=0;for(f=e.length;d%3Cf;d+=2)if(g=e%5Bd%5D,h=w(a,e%5Bd+1%5D,,g.charAt(0)==%22$%22)a.a%5Bg%5D=h;else%20if(g.charAt(0)==%22.%22)%7Bfor(var%20g=g.substr(1).split(%22.%22),j=b,O=g.length,B=0,$=O-1;B%3C$;++%7Bvar%20C=g%5BB%5D;j%5BC%5D%7C%7C(j%5BC%5D=%7B%7D);j=j%5BC%5D%7Dj%5Bg%5BO-1%5D%5D=h%7Delse%20g&&(typeof%20h==%22boolean%22%3Fh%3Fb.setAttribute(g,g)%3Ab.removeAttribute(g)%3Ab.setAttribute(g,%22%22+%0Ah))%7Dif(e=c.jseval)%7Bd=0;for(f=e.length;d%3Cf;++d)w(a,e%5Bd%5D,%7De=c.jsskip;if(!e%7C%7C!w(a,e,)if(c=c.jscontent)%7Bif(c=%22%22+w(a,c,,b.innerHTML!=c)%7Bfor(;b.firstChild;)e=b.firstChild,e.parentNode.removeChild(e);b.appendChild(this.j.createTextNode©)%7D%7Delse%7Bc=W(this);for(e=b.firstChild;e;e=e.nextSibling)e.nodeType==1&&c.push(this.e,a,e);c.length&&V(this,c)%7D%7D;function%20X(a)%7Bif(a.__jstcache)return%20a.__jstcache;var%20b=a.getAttribute(%22jstcache%22);if(b)return%20a.__jstcache=N%5Bb%5D;return%20T(a)%7D%0Afunction%20Y(a,%7Bvar%20c=document;if(%7Bvar%20e=c.getElementById(a);if(!e)%7Bvar%20e=b(),d=H,f=c.getElementById(d);if(!f)f=c.createElement(J),f.id=d,p(f),f.style.position=%22absolute%22,c.body.appendChild(f);d=c.createElement(J);f.appendChild(d);d.innerHTML=e;e=c.getElementById(a)%7Dc=e%7Delse%20c=c.getElementById(a);return%20c%3F(S©,c=c.cloneNode(!0),c.removeAttribute(K),c)%3Ai%7Dfunction%20Z(a,b,c)%7Bc==b.length-1%3Fa.setAttribute(G,I+c)%3Aa.setAttribute(G,%22%22+c)%7D;window.jstGetTemplate=Y;window.JsEvalContext=s;window.jstProcess=function(a,%7Bvar%20c=new%20L;S(;c.j=b%3Fb.nodeType==9%3Fb%3Ab.ownerDocument%7C%7Cdocument%3Adocument;var%20e=l(c,c.e,a,,d=c.h=%5B%5D,f=c.k=%5B%5D;c.c=%5B%5D;e();for(var%20h,g,j;d.length;)h=d%5Bd.length-1%5D,e=f%5Bf.length-1%5D,e%3E=h.length%3F(e=c,g=d.pop(),g.length=0,e.c.push(g),f.pop())%3A(g=h%5Be++%5D,j=h%5Be++%5D,h=h%5Be++%5D,f%5Bf.length-1%5D=e,g.call(c,j,h))%7D;%0A%7D)()%0A%3C/script%3E%3Cscript%3Evar%20templateData%20=%20%7B%22back_button%22%3A%22Wr%5Cu00F3%5Cu0107%22,%22badURL%22%3A%22sandomierz.325.pl%22,%22boxchecked%22%3A%22%22,%22confirm_text%22%3A%22Pom%5Cu00F3%5Cu017C%20udoskonali%5Cu0107%20funkcj%5Cu0119%20wykrywania%20z%5Cu0142o%5Cu015Bliwego%20oprogramowania,%20wysy%5Cu0142aj%5Cu0105c%20do%20Google%20dodatkowe%20dane%20dotycz%5Cu0105ce%20witryn,%20w%20kt%5Cu00F3rych%20jest%20wy%5Cu015Bwietlane%20to%20ostrze%5Cu017Cenie.%20%5Cu003Ca%20href=%5C%22%5C%22%20onclick=%5C%22sendCommand('showPrivacy');%20return%20false;%5C%22%20onmousedown=%5C%22return%20false;%5C%22%5Cu003EPolityka%20prywatno%5Cu015Bci%20us%5Cu0142ugi%20Bezpieczne%20przegl%5Cu0105danie%5Cu003C/a%5Cu003E%20reguluje%20spos%5Cu00F3b%20obs%5Cu0142ugi%20tych%20danych.%22,%22description1%22%3A%22Witryna%20%5Cu003Cstrong%5Cu003Esandomierz.325.pl%5Cu003C/strong%5Cu003E%20zawiera%20z%5Cu0142o%5Cu015Bliwe%20oprogramowanie.%20Otwarcie%20tej%20witryny%20grozi%20zainfekowaniem%20komputera%20wirusem.%22,%22description2%22%3A%22Wed%5Cu0142ug%20informacji%20Google%20kontynuowanie%20grozi%20zainstalowaniem%20na%20komputerze%20z%5Cu0142o%5Cu015Bliwego%20oprogramowania.%20Je%5Cu015Bli%20witryna%20ju%5Cu017C%20by%5Cu0142a%20odwiedzana%20lub%20jest%20zaufana,%20istnieje%20mo%5Cu017Cliwo%5Cu015B%5Cu0107,%20%5Cu017Ce%20niedawno%20dosz%5Cu0142o%20do%20w%5Cu0142amania%20do%20niej%20przez%20hakera.%20W%20tej%20chwili%20odradzamy%20kontynuowanie%20%5Cu2013%20mo%5Cu017Cesz%20spr%5Cu00F3bowa%5Cu0107%20ponownie%20jutro%20albo%20przej%5Cu015B%5Cu0107%20do%20innej%20witryny.%22,%22description3%22%3A%22Je%5Cu015Bli%20rozumiesz,%20%5Cu017Ce%20odwiedzenie%20tej%20witryny%20mo%5Cu017Ce%20wyrz%5Cu0105dzi%5Cu0107%20szkody%20na%20komputerze,%20%5Cu003Ca%20href=%5C%22%5C%22%20onclick=%5C%22sendCommand('proceed');%20return%20false;%5C%22%20onmousedown=%5C%22return%20false;%5C%22%5Cu003Ekontynuuj%20mimo%20wszystko%5Cu003C/a%5Cu003E.%22,%22description5%22%3A%22Powiadomili%5Cu015Bmy%20ju%5Cu017C%20w%5Cu0142a%5Cu015Bciciela%20witryny%20%5Cu003Cstrong%5Cu003Esandomierz.325.pl%5Cu003C/strong%5Cu003E,%20%5Cu017Ce%20znale%5Cu017Ali%5Cu015Bmy%20w%20niej%20z%5Cu0142o%5Cu015Bliwe%20oprogramowanie.%20Wi%5Cu0119cej%20informacji%20na%20temat%20problem%5Cu00F3w%20stwierdzonych%20pod%20adresem%20sandomierz.325.pl%20zawiera%20%5Cu003Ca%20href=%5C%22%5C%22%20onclick=%5C%22sendCommand('showDiagnostic');%20return%20false;%5C%22%20onmousedown=%5C%22return%20false;%5C%22%5Cu003EStrona%20diagnostyczna%20Safe%20Browsing%5Cu003C/a%5Cu003E%20Google.%22,%22displaycheckbox%22%3Atrue,%22headLine%22%3A%22Ostrze%5Cu017Cenie%3A%20co%5Cu015B%20tu%20jest%20nie%20w%20porz%5Cu0105dku!%22,%22proceed_link%22%3A%22kontynuuj%20mimo%20wszystko%22,%22textdirection%22%3A%22ltr%22,%22title%22%3A%22Wykryto%20z%5Cu0142o%5Cu015Bliwe%20oprogramowanie!%22%7D;%3C/script%3E%3Cscript%3E//%20Copyright%20©%202010%20The%20Chromium%20Authors.%20All%20rights%20reserved.%0A//%20Use%20of%20this%20source%20code%20is%20governed%20by%20a%20BSD-style%20license%20that%20can%20be%0A//%20found%20in%20the%20LICENSE%20file.%0A%0A//%20Invoke%20the%20template%20engine%20previously%20loaded%20from%20i18n_template.js%0Ai18nTemplate.process(document,%20templateData);%0A%3C/script%3E%3Cscript%3Evar%20tp%20=%20document.getElementById('template_root');jstProcess(new%20JsEvalContext(templateData),%20tp);%3C/script%3E'>Strona diagnostyczna Safe Browsing

Google.