[Java][HTML]Zagrożenie, ale jakie, Jakie zagrożenie Opcje

[simon111]

Witam

Zwracam się do Was z uprzejmą prośbą. Po wejściu na stronkę, którą umieściłem na serwerze wyskakuje mi komunikat, że plik jest zainfekowany.
Natomiast, gdy przeglądam plik nic w nim nie ma, żadne wirus się tam nie dopisał. Poza tym jak ściągam plik na komputer i odpalam go lokalnie, także nic się nie dzieje (gdy tymczasem na serwerze cały czas mówi o infekcji).
Czy ktoś może mi wytłumaczyć o co "kaman"? Bardzo proszę o wszelkie sugestie i porady.

Z góry dziękuję i pozdrawiam.

[darko]

Pokaż ten komunikat, wrzuć gdzieś ten plik i podeślij link, żeby można było pobrać.

[simon111]

Problemy wyskakują w dziale dotyczącym "Planu zajęć" na stronie http://www.zst-leszno.interbit.pl/index.php, np. tutaj:

http://www.zst-leszno.interbit.pl/link/plan/plany/n31.html.


Komunikat: Zagrożenie - nazwa: Program wykorzystujący lukę zabezpieczeń Javascript Obfuscation (type 719). Jest to akurat komunikat programu AVG. Ale inne antywirusy także coś wykrywają.

Poniżej kod źródłowy strony:

[HTML] pobierz, plaintext 
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<meta http-equiv="Content-Language" content="pl">
<meta name="description" content="Plan zajęć ZST./n Plan lekcji nauczyciela J.&brvbar;wi&plusmn;tkowski (J&brvbar;)/n utworzony za pomoc&plusmn; programu Plan lekcji Optivum firmy VULCAN">
<title>Plan lekcji nauczyciela - J.&brvbar;wi&plusmn;tkowski (J&brvbar;)</title>
<STYLE>
body{
	background-color:#ffffff;
	color:#000000;
	font:11px verdana,sans-serif;
	overflow:auto;
	margin:0}
.tabtytul{ /* tabelka z grafik&plusmn; (nagłówek) */
	background-color:#80c2ab;
	border-bottom:2px solid #808080}
.tytul{ /* komórka z tytułem */
	background-color:#80c2ab;
	color:#ffffff;
	height:80px;
	font:bold 36px verdana,sans-serif;
	border-bottom:2px solid #c0c0c0;
	text-align:center}
.tytulnapis{ /* tytuł strony z cieniem (tylko IE) */
	padding-left:10px;width:400px;height:60px;filter:Shadow(Color=#666666,Direction=150)}
.tabela{ /* tabela z planem */
	border-color:#c0c0c0}
td{
	font-size:11px}
th{
	background-color:#bddfd0;
	color:#000099;
	font-size:13px}
td.g{ /* godzina */
	background-color:#eaf4f0;
	color:#000099;
	font-weight:bold;
	vertical-align:top;
	text-align:center;
	white-space:nowrap}
td.nr{ /* numer lekcji */
	background-color:#bddfd0;
	color:#000099;
	font-weight:bold;
	text-align:center;
	vertical-align:top}
td.l{ /* lekcja */
	background-color:#ffffff;
	color:#000000;
	vertical-align:top}
a.n{ /* nauczyciel */
	color:#000099}
a.s{ /* sala */
	color:#000099}
a.k{ /* klasa */
	color:#000099}
.p{ /* przedmiot */
	color:#000000;
	font-weight:bold}
.op{ /* napis */
	font:10px verdana,sans-serif}
@media print{
.tabtytul{ /* nagłówek do druku */
	display:none}
}
</STYLE>
</head>
<body>
<table border="0" cellpadding="0" cellspacing="0" width="100%" class="tabtytul">
<tr>
<td class="tytul">
<img src="../images/pusty.gif" height="80" width="1">
<span class="tytulnapis">J.&brvbar;wi&plusmn;tkowski (J&brvbar;)</span></td></tr></table>
<div align="center">
<table border="0" cellpadding="10" cellspacing="0">
<tr><td>
<table border="1" cellspacing="0" cellpadding="4" class="tabela">
<tr>
<th>Nr</th>
<th>Godz</th>
<th>Poniedziałek</th>
<th>Wtorek</th>
<th>&brvbar;roda</th>
<th>Czwartek</th>
<th>Pi&plusmn;tek</th>
</tr>
<tr>
<td class="nr">1</td>
<td class="g"> 8:00- 8:45</td>
<td class="l"><span style="font-size:85%"><a href="o20.html" class="o">1TM</a>-2/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
</tr>
<tr>
<td class="nr">2</td>
<td class="g"> 8:50- 9:35</td>
<td class="l"><span style="font-size:85%"><a href="o1.html" class="o">1LG</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o1.html" class="o">1LG</a>-1/2 <span class="p">wf</span> <a href="s17.html" class="s">g1</a><br></span></td>
<td class="l"><span style="font-size:85%"><a href="o9.html" class="o">1TF</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l">&nbsp;</td>
</tr>
<tr>
<td class="nr">3</td>
<td class="g"> 9:40-10:25</td>
<td class="l"><a href="o10.html" class="o">2TI</a> <span class="p">wf</span> <a href="s17.html" class="s">g1</a><br></td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o9.html" class="o">1TF</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l"><span style="font-size:85%"><a href="o5.html" class="o">1TS</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l"><span style="font-size:85%"><a href="o1.html" class="o">1LG</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
</tr>
<tr>
<td class="nr">4</td>
<td class="g">10:40-11:25</td>
<td class="l"><span style="font-size:85%"><a href="o5.html" class="o">1TS</a>-1/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o20.html" class="o">1TM</a>-2/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l"><a href="o25.html" class="o">3ME</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
</tr>
<tr>
<td class="nr">5</td>
<td class="g">11:30-12:15</td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o20.html" class="o">1TM</a>-2/2 <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></span></td>
<td class="l"><a href="o25.html" class="o">3ME</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
</tr>
<tr>
<td class="nr">6</td>
<td class="g">12:25-13:10</td>
<td class="l">&nbsp;</td>
<td class="l"><a href="o25.html" class="o">3ME</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
<td class="l">&nbsp;</td>
<td class="l"><a href="o10.html" class="o">2TI</a> <span class="p">wf</span> <a href="s17.html" class="s">g1</a><br></td>
<td class="l"><a href="o7.html" class="o">4TS</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
</tr>
<tr>
<td class="nr">7</td>
<td class="g">13:15-14:00</td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o9.html" class="o">1TF</a>-1/2 <span class="p">wf</span> <a href="s17.html" class="s">g1</a><br></span></td>
<td class="l">&nbsp;</td>
<td class="l"><a href="o10.html" class="o">2TI</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
<td class="l"><a href="o7.html" class="o">4TS</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
</tr>
<tr>
<td class="nr">8</td>
<td class="g">14:05-14:50</td>
<td class="l">&nbsp;</td>
<td class="l"><span style="font-size:85%"><a href="o5.html" class="o">1TS</a>-1/2 <span class="p">wf</span> <a href="s20.html" class="s">g2</a><br></span></td>
<td class="l">&nbsp;</td>
<td class="l">&nbsp;</td>
<td class="l"><a href="o7.html" class="o">4TS</a> <span class="p">wf</span> <a href="s18.html" class="s">g1a</a><br></td>
</tr>
</table>
</td></tr>
<tr><td class="op" align="right">
<table border="0" cellpadding="0" cellspacing="0">
<tr><td align="right">
wygenerowano 2009-10-14<br>
za pomoc&plusmn; programu
<a href="http://www.vulcan.edu.pl/programy/plan2000plus.html" target="_blank">Plan lekcji Optivum</a><br>
firmy <a href="http://www.vulcan.edu.pl/" target="_blank">VULCAN</a></td>
<td><img border="0" src="../images/plan_logo.gif" style="margin-left:10" alt="logo programu Plan lekcji Optivum" width="40" height="40"></td>
</tr></table>
<script type="text/javascript" src="../scripts/powrot.js"></script>
</td></tr></table></div>
</body>
</html>
 
[HTML] pobierz, plaintext 

[seth-kk]

to nie jest kompletny kod - za </html> jesze jest "prezent" w javascript

[simon111]

Gdy jestem na danej stronce i robię jej źródło to faktycznie pokazuje jakiś "prezencik" za </html>.

Ale za </html> niby już nic nie ma, bo edytowałem ten plik online (przez Total Commander'a), ściągnąłem sobie na kompa, otwierałem w notatniku i tam też nic nie pokazuje. Więc nie mogę usunąć czegoś czego nie ma...

I co Wy na to?

Ten post edytował simon111 24.11.2009, 14:59:55

[Fifi209]

Gdy jestem na danej stronce i robię jej źródło to faktycznie pokazuje jakiś "prezencik" za </html>.

Ale za </html> niby już nic nie ma, bo edytowałem ten plik online (przez Total Commander'a), ściągnąłem sobie na kompa, otwierałem w notatniku i tam też nic nie pokazuje. Więc nie mogę usunąć czegoś czego nie ma...

I co Wy na to?

Po 1. zmień hasło do ftp i nie zapamiętuj go w total commanderze.

Java != javascript, to w końcu z czym jest problem?

[darko]

Kliknąłem Ci w stopbadware.org, chociaż niby jest tam 11 backdoorów, safebrowsing zwraca:

Bezpieczne przeglądanie
Strona diagnostyczna dla www.zst-leszno.interbit.pl/link

Jaki jest obecny stan witryny www.zst-leszno.interbit.pl/link?

Witryna znajduje się na liście podejrzanych witryn — jej odwiedzenie może spowodować uszkodzenie komputera.

W ciągu ostatnich 90 dni część tej witryny została 2 raz(y) umieszczona na liście witryn mających związek z podejrzanymi działaniami.

Co się działo podczas odwiedzin Google w tej witrynie?

Liczba stron przetestowanych w witrynie w ciągu ostatnich 90 dni: 39. Testy wykazały, że niektóre (7) z nich powodowały pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Robot Google po raz ostatni odwiedził tę witrynę 2009-11-13, a ostatni raz podejrzana treść została w niej wykryta 2009-11-13.

Malicious software includes 11 backdoor(s). Successful infection resulted in an average of 6 new process(es) on the target machine.

Liczba domen, w których przechowywane jest złośliwe oprogramowanie: 2. Są to między innymi następujące domeny: 93.158.114.0/, frenchpropertyshop.com/.

This site was hosted on 1 network(s) including AS5617 (Polish Telecom).

Czy ta witryna działa jako pośrednik w dalszym rozpowszechnianiu złośliwego oprogramowania?

W ciągu ostatnich 90 dni witryna www.zst-leszno.interbit.pl/link nie funkcjonowała jako witryna pośrednicząca w rozpowszechnianiu wirusów.

Czy ta witryna przechowuje złośliwe oprogramowanie?

Nie, w ciągu ostatnich 90 dni w tej witrynie nie znajdowało się złośliwe oprogramowanie.

Co mogło być przyczyną?

W niektórych przypadkach aplikacje firm trzecich mogą dodawać złośliwy kod do wiarygodnych witryn, co powoduje wyświetlanie ostrzeżenia.

IMHO to przez zaciemniacz (obfuscator) kodu javascript, spróbuj wrzucić niezaciemniony kod, może też być coś z plikiem swf nie tak, nic pewnego nie mogę Ci powiedzieć na ten temat, ale spróbuj również go wywalić z kodu strony.

[simon111]

Tylko jak mam wywalić ten skrypt z kodu strony, którego nie ma w kodzie źródłowym pliku (gdy do niego wchodzę), a widać go tylko z poziomu przeglądarki menu "Widok" -> "Źródło".

[seth-kk]

moze masz gdzies dodatkowy kod ktory dokleja ten js tuz przed opuszczeniem serwera