Uporczywy wirus :/

[beybe]

Witam.

Od jakiegoś czasu zauważyłem że na stronach, których hasła do FTP miałem zapisane w TC wyskakuje komunikat o szkodliwym oprogramowaniu :/

Domyśliłem się, że mój komp złapał takiego wirusa, który włamuje się na FTP i dodaje w html jakąś ramkę zawierającą szkodliwy adres...

Próbowałem nadmieniać niektóre pliki na FTP, ale nie przyniosło żadnych rezultatów :/

Przy poprzednim razie w Google zgłosiłem że kod został już usunięty i odblokowali mi stronę... Teraz też muszę, czy sami odblokują ? Bo za każdym razem w narzędziach Webmastera Google muszę weryfikować każdy adres i zgłaszać prośbę o odblokowanie.

No i drugie pytanie, jak wyłapać tego wirusa na FTP ?

[witko2006]

Temat dt. tego zjawiska był już poruszany wielokrotnie. Poszukaj

[beybe]

Szukałem już, ale nie znalazłem jednoznacznej odpowiedzi Dla przykładu podam te strony:

anmar-meble.com

gim-mikstat.prv.pl

twojeinfo.yoyo.pl

Jeśli ktoś ma antywira to może sprawdzić co się dzieje...

[Wojtek Z.]

ja zrobiłem format i antywirusa zainstalowałem...

edit:

pozmieniaj hasła do logowania ftp dla tych stron...

[Iguana]

Doklejony kod znając życie zazwyczaj na dole strony, wejdź w ftp i zobacz na początek na indexie

[beybe]

Ok dzięki za odpowiedzi... mam antywira ale widoczne coś przepuścił (ESET Smart Security)

Jutro muszę zrobić tego formata i pozmieniać hasła do FTP... no i przejrzeć te pliki w poszukiwaniu za "magicznym kodem"

[SilverT]

widać, że złapałeś tego wira jak coś było nie tak z nodem bo teraz to on nawet nie otworzy takiej strony. rozwiązanie jest proste, aktualizacja bazy noda gruntowny skan, zmian haseł do ftp i nie zapisywanie ich w byle czym - teraz jest chyba beta wersja tc która ma lepsze szyfrowanie haseł.

a wir w plikach php jest na końcu a w html w początkowych częściach sekcji <body>

[s4lc]

w moim przypadku pomógł tylko COMBOFIX

podstawowa sprawa to zmień hasło do serwera inaczej ataki na stronę nie ustaną

edycja:

jeśli do serwera dostęp ma kilka osób z różnych kont to zmień wszystkim hasło

nigdy nie wiadomo kto z Was jest nadal zarażony

[Maximus Marius]

Z doświadczenia to wiem że jeszcze dobry antywirus nie powstał. Bo wszyscy by go używali.

Przy obecnym przemyśle który stoi za twórcami tych małych sprytnych programów trudno nadążyć.

Teraz to jest często tak że przychodzi wirus a jeszcze nie ma na niego szczepionki I dopiero po kilku godzinach powiedzmy że jest bezpiecznie. Wiec jak dla mnie to szkoda procesora na coś co i tak nie daje bezpieczeństwa żadnego.

Kilka dobrych zasad:

- serwer pocztowy powinien blokować wszystkie exe i spakowane exe itp., normalni ludzie nie wysyłaja programów pocztą.

- zamiast antywirusa lepiej używać firewall-a np. ZoneAlarm

- używać "no Script" z domyślnym blokowaniem wszystkiego i tylko dla znanych witryn odblokowywać JS

- jak wkładasz PEN USB albo cd z nieznanego źródła to przytrzymać "shift" aby nie zadziałało autoodtwarzanie

[Filip_]

(...)- zamiast antywirusa lepiej używać firewall-a np. ZoneAlarm

Wydaje mi się, że lepiej stosować jedno i drugie.

[Inco]

- używać "no Script" z domyślnym blokowaniem wszystkiego i tylko dla znanych witryn odblokowywać JS

- jak wkładasz PEN USB albo cd z nieznanego źródła to przytrzymać "shift" aby nie zadziałało autoodtwarzanie

Z większością się zgodzę dodam jeszcze że antywirus daję złudne poczucie bezpieczeństwa.

Polecam ustawić no scripta tak by nie otwierał nie zaufanych stron w ramkach, a auto odtwarzanie całkiem wyłączyć w systemie.

[Gesiak]

Miałem podobnie, format partycji systemowej nie pomógł, doklejał iframe do stron i zarażał wszystkie exe na całym dysku, na razie pomogło https://www.freedrweb.pl/

[tomex44]

Dodam, że jeśli już chcemy trzymać zapisane w komputerze dane dostępowe do konta FTP, to lepiej to robić za pomocą klienta FTP który zapisuje je w postaci zaszyfrowanej.

[Gość]

tomex44 - tyle to też wiemy, podaj przykład takiego programu

ps. ja od tygodnia korzystam z Unreal Commander

[beybe]

Wszystkie rady uważam za pomocne

Ja pozmieniałem hasła do FTP, oczywiście nie zapisałem ich w TC, następnie pousuwałem te złośliwe kody - w każdym pliku index (ja miałem tylko typ php) na końcu była ramka z jakimś adresem, jak na razie antywirus blokuje mi nadal wejście na te strony... Po prostu jest przewrażliwiony teraz Ale i tak bez formata się nie obędzie, lepiej nie ryzykować...

A co do tego antywira to ja jednak wolę go mieć, niż być bez niego całkowicie Wiadomo, że nie chroni wszystkiego ale zawsze coś tam jest