[inne] Jak usunąć? Pozostałości po infekcji wirusa na stronie Opcje

[Zajmik]

W lutym moja strona była zaatakowana przez jakieś boty podmieniające w nocy pliki i "wszczepiające" skrypty na serwer. Większość z tego udało nam się już usunąć, ale do tej pory pewnej części osób przy wchodzeniu na stronę pojawia się komunikat o zagrożeniu. Chcemy to całkowicie wyeliminować i próbujemy to zrobić, lecz praktycznie bezskutecznie.

Dlatego przenieśliśmy stronę na nowy serwer. Przeczyściliśmy pliki, przeprowadziliśmy modernizację i testujemy starą wersję strony www.spartawroclaw.com na NOWYM serwerze na stronie www.olaole.pl

Prawda jest taka ze komunikat pokazuje się po wgraniu na stronę systemu Cutenews. Jeśli go nie ma na stronie/serwerze, wszystko działa okej. Jeśli jest, to zaczynają się problemy. Mimo tego, że wgraliśmy jego nową wersję i na nowo wszystko skonfigurowaliśmy. A może to jednak nie jest to, tylko infekcja jeszcze gdzie indziej pozostała?

Niestety mimo tego wszystkiego zainfekowany wirus dalej gdzieś się gnieździ, ponieważ pokazują się informacje o zagrożeniu, które przedstawiam w screenach:

http://images46.fotosik.pl/281/ec2c35290c8c7fc0.jpg
http://images40.fotosik.pl/277/d7e5221c87608a8f.jpg

Czy macie jakiś pomysł co z tym zrobić? Jak pozbyć się tego "cholerstwa" raz na zawsze?

Ten post edytował Zajmik 9.04.2010, 18:53:25

[micha12344]

może najlepiej było by jakbyś umieścił pliki na komputerze na dysku i zeskanował anty wirem jeszcze przed uruchomieniem systemu z jakiejś płytki...albo może pokaż wszystkie pliki również te ukryte i zobacz czy niema jakiegoś podejrzanego co nie powinien tam być... próbuj wszystkiego

[Wicepsik]

Na nowej stronie też już są wirusy z witryny traflab.com. Zmieniałeś hasła do konta ftp ?

Ten post edytował Wicepsik 9.04.2010, 19:15:55

[Zajmik]

Na nowej stronie też już są wirusy z witryny traflab.com. Zmieniałeś hasła do konta ftp ?

Stronę przenieśliśmy na nową i zarazem na nowy zakupiony serwer. Czyli wszystkie hasła są inne.
Niestety tak jak zauważyłeś przekierowania z tego nieszczęsnego traflab.com też już tam są.

Przekopiowywaliśmy pliki folder po folderze, za każdym razem wygrywając je już na stronę i sprawdzając czy pojawia się informacja o zagrożeniu.
I wychodzi na to, że usuwając folder z Cutenewsami tego zagrożenie nie ma.

może najlepiej było by jakbyś umieścił pliki na komputerze na dysku i zeskanował anty wirem jeszcze przed uruchomieniem systemu z jakiejś płytki...albo może pokaż wszystkie pliki również te ukryte i zobacz czy niema jakiegoś podejrzanego co nie powinien tam być... próbuj wszystkiego

Skanowałem pliki na serwerze trialową wersją programu Acunetix Web Vulnerability Scanner.
Wykrył parę "obych" skryptów w plikach. Jak się dało to skrypty wywalaliśmy, a czasami zainfekowany plik zastępowaliśmy świeżym.
Inna osoba skanowała pliki z folderu u siebie na kompie i również znalazło dokładnie 17 "alarmów" i większość właśnie pochodziła z folderu Cutenews.

[erix]

Czyli wszystkie hasła są inne.
Niestety tak jak zauważyłeś przekierowania z tego nieszczęsnego traflab.com też już tam są.

A macie swoje kompy czyste? Od tego bym zaczął.

[Zajmik]

Raczej tak, antywirus nie wykrywa jakiś znaczących wirusów, więc nie narzekamy.
Ale wiadomo jak jest, coś zawsze może gdzieś być.
Ale chyba format kompów 3 osób obsługujących serwer to jest ostateczna... ostateczność.

[erix]

Jakiś trojan może podsyłać hasła, tak z Total Commanderem często bywa, jeśli się globalnego klucza nie założy.

[Zajmik]

Z TC korzystała tylko jedna osoba, która już od wielu tygodni (po sugestiach ludzi o zagrożeniu) przerzuciła się na Fille Zilli, a ja używam Microsoft SharePoint Designer 2007.