 [JavaScript][HTML]Zabezpieczenia, doklejanie kodu html |
  |
| [JavaScript][HTML]Zabezpieczenia, doklejanie kodu html |
 28.11.2009, 21:48:08
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 44 Pomógł: 0 Dołączył: 11.11.2007 Ostrzeżenie: (0%) 
 |
Witam!
Otwieram sobie dzisiaj stronę swego forum i strona nie działa - konsternacja... Zaglądam na serwer, ściągam plik index.php gdyż to w nim sygnalizowany jest błąd i widzę, że na jego końcu doklejony jest nieznany mi kod. W katalogach utworzone zostały pliki index.html i w każdym z nich taki oto kod:
Zauważyłem też że pliki javascript (js) też zostały zmodyfikowane lecz nie wiem o co gdyż zdążyłem je podmienić na właściwe zanim pomyślałem aby zerknąć co też zostało w nich doklejone. Proszę mi powiedzieć cóż to jest, jak do tego doszło i jak się przed tym zabezpieczyć? Ten post edytował kosma 28.11.2009, 21:55:10 |
 |
 
|
|
28.11.2009, 22:02:46
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 678 Pomógł: 124 Dołączył: 26.09.2009 Ostrzeżenie: (0%)
|
Zapewne trzymasz hasła w Total Commanderze, z którego wirus je wyciągnął i zmodyfikował pliki.
Co zrobić? Zmienić TC na np. FileZille (miliard razy lepsza) pozmieniać hasła do ftp i pousuwać złośliwy kod z plików. -------------------- Napisane z palca! <- to tak dla lansu ;)
FancyStudio.pl - Tworzenie Stron WWW w Oparciu o XHTML, CSS, JS, PHP i MySQL. Mój blog :: Portfolio Fotograficzne Igora Biedrawy |
|
|
|
|
28.11.2009, 22:07:05
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 44 Pomógł: 0 Dołączył: 11.11.2007 Ostrzeżenie: (0%)
|
Zgadza się.
Dziękuję za odpowiedź choć napędziłeś mi stracha! |
|
|
|
|
28.11.2009, 22:17:32
Post
#4
|
|
 Grupa: Zarejestrowani Postów: 2 885 Pomógł: 463 Dołączył: 3.10.2009 Skąd: Wrocław Ostrzeżenie: (0%)
|
Wygląda na malware, doklejony do zdarzenia document.onload skrypt próbujący wykonać jakiś kod pobierany ze strony:
http://live.com.google.com.baidu-msn.com.b...om/cnet-cnn.com /about-ebay.com/ Jak uzyskałem ten adres? Kod <script> var test = 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@  m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m ($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^';document.write(test.replace(/\^|&|@|\)|\(|#|\!|\$/ig, '')); </script> Być może Twoja strona jest ofiarą ataku typu js injection, ale aż tak się na tym nie znam. Zapytałbym administratora hostingu na Twoim miejscu, chociaż wątpię, żeby Ci coś konkretnego odpowiedział. Pozdrawiam. -------------------- Nie pomagam na pw, tylko forum.
|
|
|
|
|
28.11.2009, 22:22:10
Post
#5
|
|
 Grupa: Zarejestrowani Postów: 733 Pomógł: 4 Dołączył: 11.11.2009 Ostrzeżenie: (0%)
|
Nie dawno miałem to samo tylko trochę inny kod był dodawały.
Kroki jakie zrobiłem. 1. Przeniosłem się na FileZilla 2. Wyłączyłem opcje przetrzymywania hasła 3. Włączyłem opcje wymuszenia wyświetlania ukrytych plików 4. Poinformowałem usługodawcę hostingu 5. Usunąłem wszystkie pliki z ftp 6. Przeskanowałem komputer antywirusem, CCleaner'em i odkurzaczem 7. Zmieniłem hasła do ftp 8. Wrzuciłem pliki na serwer ftp 9. Cieszę się z dobrze działającej strony -------------------- |
|
|
|
|
20.12.2009, 02:44:51
Post
#6
|
|
 Grupa: Zarejestrowani Postów: 658 Pomógł: 95 Dołączył: 20.12.2005 Skąd: N54,35° E18,63° (Gdańsk) Ostrzeżenie: (0%)
|
Teraz każdy znany klient jest zagrożony - nie znam pochodzenie tego syfu.
Ale z tego co zauważyłem pliki są podmieniane z komputera ofiary bezpośrednio. na FTP miałem dostęp tylko z 1 IP dopuszczony, a i tak przeszło, szukanie w procesach tego syfu, skanerami itp - nie dawało rezultatów - wszędzie niby 'czysto' - a to i tak dalej siedziało. http://www.michell.pl/bez-kategorii/iframe...nload-function/ Ten post edytował b4x 20.12.2009, 02:47:04 -------------------- |
|
|
|
|
28.01.2010, 02:33:08
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 18 Pomógł: 0 Dołączył: 27.01.2009 Ostrzeżenie: (0%)
|
Prosty skrypcik do usuniecia trojana JS-IllRedir-B z servera. Nalezy rownież zmienić hasła do FTP i nie używać Total Commandera do uploadow FTP.
Skrypt moze być łatwo zmodyfikowany do usuwania innych tego typu virusów dopisujących się do stron. http://crafts.hopmart.pl/files/remov...r-b.php.tar.gz Pozdrawiam. fixuje Ill Redir-B i Ill Redir-C Dodalem usuwanie IllRedir-D Dodałem IllRedir-E Ten post edytował trzykas 11.01.2010, 00:17:46 |
|
|
|
|
9.06.2010, 13:55:44
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 2.12.2007 Ostrzeżenie: (0%)
|
Witam,
U mnie na serwerze pojawił się Illredir-CB, niestety ale tym skryptem nie potrafie usunąć go. Macie jeszcze jakieś rady co robić dalej? |
|
|
|
|
18.11.2010, 19:28:53
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 7 Pomógł: 0 Dołączył: 6.11.2008 Ostrzeżenie: (0%)
|
Witam,
może ktoś wie jak wyłączyć opcje przetrzymywanie haseł w Filezilli? |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 3.08.2025 - 07:20 |
