W lutym moja strona była zaatakowana przez jakieś boty podmieniające w nocy pliki i "wszczepiające" skrypty na serwer. Większość z tego udało nam się już usunąć, ale do tej pory pewnej części osób przy wchodzeniu na stronę pojawia się komunikat o zagrożeniu. Chcemy to całkowicie wyeliminować i próbujemy to zrobić, lecz praktycznie bezskutecznie.
Dlatego przenieśliśmy stronę na nowy serwer. Przeczyściliśmy pliki, przeprowadziliśmy modernizację i testujemy starą wersję strony www.spartawroclaw.com na NOWYM serwerze na stronie www.olaole.pl
Prawda jest taka ze komunikat pokazuje się po wgraniu na stronę systemu Cutenews. Jeśli go nie ma na stronie/serwerze, wszystko działa okej. Jeśli jest, to zaczynają się problemy. Mimo tego, że wgraliśmy jego nową wersję i na nowo wszystko skonfigurowaliśmy. A może to jednak nie jest to, tylko infekcja jeszcze gdzie indziej pozostała?
Niestety mimo tego wszystkiego zainfekowany wirus dalej gdzieś się gnieździ, ponieważ pokazują się informacje o zagrożeniu, które przedstawiam w screenach:
http://images46.fotosik.pl/281/ec2c35290c8c7fc0.jpg
http://images40.fotosik.pl/277/d7e5221c87608a8f.jpg
Czy macie jakiś pomysł co z tym zrobić? Jak pozbyć się tego "cholerstwa" raz na zawsze?
może najlepiej było by jakbyś umieścił pliki na komputerze na dysku i zeskanował anty wirem jeszcze przed uruchomieniem systemu z jakiejś płytki...albo może pokaż wszystkie pliki również te ukryte i zobacz czy niema jakiegoś podejrzanego co nie powinien tam być... próbuj wszystkiego
Na nowej stronie też już są wirusy z witryny traflab.com. Zmieniałeś hasła do konta ftp ?
Cytat(Wicepsik @ 9.04.2010, 20:15:41 ) 
Na nowej stronie też już są wirusy z witryny traflab.com. Zmieniałeś hasła do konta ftp ?
Stronę przenieśliśmy na nową i zarazem na nowy zakupiony serwer. Czyli wszystkie hasła są inne.
Niestety tak jak zauważyłeś przekierowania z tego nieszczęsnego traflab.com też już tam są.
Przekopiowywaliśmy pliki folder po folderze, za każdym razem wygrywając je już na stronę i sprawdzając czy pojawia się informacja o zagrożeniu.
I wychodzi na to, że usuwając folder z Cutenewsami tego zagrożenie nie ma.
Cytat(micha12344 @ 9.04.2010, 19:50:38 )
może najlepiej było by jakbyś umieścił pliki na komputerze na dysku i zeskanował anty wirem jeszcze przed uruchomieniem systemu z jakiejś płytki...albo może pokaż wszystkie pliki również te ukryte i zobacz czy niema jakiegoś podejrzanego co nie powinien tam być... próbuj wszystkiego
Skanowałem pliki na serwerze trialową wersją programu Acunetix Web Vulnerability Scanner.
Wykrył parę "obych" skryptów w plikach. Jak się dało to skrypty wywalaliśmy, a czasami zainfekowany plik zastępowaliśmy świeżym.
Inna osoba skanowała pliki z folderu u siebie na kompie i również znalazło dokładnie 17 "alarmów" i większość właśnie pochodziła z folderu Cutenews.
Cytat
Czyli wszystkie hasła są inne.
Niestety tak jak zauważyłeś przekierowania z tego nieszczęsnego traflab.com też już tam są.
Niestety tak jak zauważyłeś przekierowania z tego nieszczęsnego traflab.com też już tam są.
A macie swoje kompy czyste? Od tego bym zaczął.
Raczej tak, antywirus nie wykrywa jakiś znaczących wirusów, więc nie narzekamy.
Ale wiadomo jak jest, coś zawsze może gdzieś być.
Ale chyba format kompów 3 osób obsługujących serwer to jest ostateczna... ostateczność.
Ale wiadomo jak jest, coś zawsze może gdzieś być.
Ale chyba format kompów 3 osób obsługujących serwer to jest ostateczna... ostateczność.
Jakiś trojan może podsyłać hasła, tak z Total Commanderem często bywa, jeśli się globalnego klucza nie założy.
Z TC korzystała tylko jedna osoba, która już od wielu tygodni (po sugestiach ludzi o zagrożeniu) przerzuciła się na Fille Zilli, a ja używam Microsoft SharePoint Designer 2007.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.