Napadené index.php a index.html škodlivým kódem

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod vlashek 4. 9. 2009 16:20

Já bych dokonce řekl, že Windows (Vista, 7) jsou velmi bezpečný systém. Obsahují celou řasu pokročilých bezpečnostních prvků a jsou pod drobnohledem velkého množství expertů, kteří v nich odhalují zranitelnosti.
To, že jako pro majoritní operační systém je pro ně nejvíce škodlivého kódu, je druhá věc. Pokud ale člověk dodržuje pár základních bezpečnostních pravidel, šance, že jeho systém bude infikován, je velmi malá.
To přirovnání od oneill_sx1 se silnicemi přesně sedí. Můžeš jezdit po okreskách, na kterých je menší provoz, ale pravděpodobně je v nich daleko více nebezpečných děr, než na tebou odsuzované dálnici. Jen jim prostě nikdo nevěnuje takovou pozornost a nikdo se je neobtěžuje záplatovat.
vlashek
Junior
Uživatelský avatar

Odeslat příspěvekod Nargon 6. 9. 2009 00:41

Hmm, a co se tyce toho skodliveho odkazu v te strance, tak na strane klienta se s tim da bojovat celkem snadno. Proste pouzijete svuj oblibeny nastroj na blokovani reklamy a pridate do nej dalsi adresu: "http://mixante.cn/", ze ktere ma blokovat. A jste alespon chvili v klidu, nez to zacne odkazovat na jinej web.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod xsoft 7. 9. 2009 19:15

Take mam tento problem (s virem dle meho nazoru).
Docela smutne je, ze o viru vim od doby, kdy se zacal masicneji sirit. 2 mesice pohoda a najednou vse zavirovano. No co, vyhodil jsem vsechny infikovane veci, prekopal ze zalohy, zmenil heslo, vymenil VSUDE TC za 7.5 a po zmene FTP hesla si jej ulozil v SIFROVANE PODOBE. Za mesic znova, zavirovano.
Heslo znam jen ja {je to osobni web). Ten novy iframe vypadal jinak, jako ze spis jiny vir, nebo moc velka mutace. Ale jako odkud se to zavirovava. Vsechny kompy dle ESET 4 ciste, i podle AVG a dalsich Spyware detektoru. Na hostingu to nikoho jineho moc nepostihlo. Nejake rady?? Ted mam heslo opet zmenene a neukladam a drzi (tuk tuk), .. ale na jak dlouho? Spis mam pocit ze jeden komp vira ma, ale nic jej zatim nedetekovalo.
Take mam kamose na lokalni siti, ktery sem tam viry ma.. ted je taky na ESETu, hmm, ale ze by vir sniffroval po lokale se mi nezda.
Spis .. mate tim na nejake detektory a odvirovavace??
.: Xsoft :.
xsoft
Junior

Odeslat příspěvekod tcaklos 7. 9. 2009 19:30

Stalo se mi to na mém webu také, avšak nevložil se <iframe>, ale <script>, taktéž odkazující na čínksé stránky. Vložil se na konec souboru index.php.
Viditelně se na stránce projevil tak, že se stránka prodloužila o několik set pixelů.
Všiml jsem si toho během několika minut a škodlivý kód odstranil.
Stalo se tak na hostingu Pipni.cz.
Určitě se ale nejedná o problém související s jakýmkoli Commanderem či jiným desktopovým software pro práci s FTP protože v danou chvíli jsem s webem pracoval pomocí webového (prohlížečového) FTP rozhraní a to http://net2ftp.com.

Jinak pro přispění do konzultace o tom, že se jedná o vir podotýkám, že používám linux a to Ubuntu. Vzhledem k celkovým rozdílnostem je ale možné že moje situace nesouvisí s tou zde zmiňovanou a jedná se tudíž o jiný problém.

pozn. na web mám přístup pouze já
tcaklos
Kolemjdoucí

Odeslat příspěvekod kubrticek1 7. 9. 2009 20:09

Vyzkoušeli jste odvirovávač "a-squared Free" a jeho plný sken. (jen při tomto skenu fungují obě technologie odvirovávače) Opravdu nejsilnější nástroj. Má však i falešné detekce, jako každý jiný. Proto doporučuji dát do karantény, pak v ní třeba ručně vymazávat šmejda po šmejdu. Někdy i po měsíci zahlásí, že byla nalezena falešná detekce a nešmejdy Vám nabídne obnovit. Po dlouhém testu (nejvíc mu dají zabrat veškerá videa a hry, než je prochroustá) doporučuji proskenovat ještě jednou, protože vyžere naskenované šmejdy z obodu obnovení.
kubrticek1
Kolemjdoucí

Odeslat příspěvekod maro.sk 7. 9. 2009 20:20

Moj poskytovatel to poriesil takto:

Vazeny zakaznik,
v poslednej dobe zaznamenavame denne desiatky utokov na www stranky nasich klientov prostrednictvom virusov, ktore v pocitaci najdu ulozene pristupove udaje pre spravu web stranok (ftp pristup) a odoslu ich na zahranicny server, ktory potom na stranku prida vlastny kod dalej siriaci dany virus alebo rozosielajuci nevyziadanu postu.

Kedze mnozstvo poskodenych stranok je naozaj hrozive a utoky prichadzaju vzdy zo zahranicia rozhodli sme sa obmedzit pristup k sprave www stranok prostrednictvom ftp protokolu len na pocitace pripojene cez slovenskych a ceskych providerov.

Ak sa nebudete vediet pripojit k svojej stranke cez ftp klienta, mozete svoju IP adresu pridat do zoznamu povolenych, alebo nam dajte vediet emailom a my do zoznamu povolenych pristupovych miest pridame Vasho poskytovatela internetoveho pripojenia. Nudzovo mozete pouzit i webftp klienta na adrese http://vasadomena/webftp/

V pripade akychkolvek problemov alebo otazok nas prosim kontaktujte
s pozdravom
helpdesk
CADACM100/RRA1520/NSPV4DMHA/KPP/VSGR06/GSR60/J-V-J :)
maro.sk
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod mandal 7. 9. 2009 20:38

S tímto problémem jsem se také několikrát setkal. TC vůbec nepoužívám a i přesto se vir na stránky dostal. Ještě větší záhadou je mi že používám Linux a nikdo jiný k heslu nemá přístup. Heslo jsem zkusil i změnit, ale to nic neměnilo na tom, že po odstarnění viru tam byl do druhého dne zpět. Heslo je dostatečně silné, ale tipuji že to bude mít spíš něco společného s objevenou zranitelností v proFTPd.
Na kód jsem zatím vyzrál voláním php funkce exit; na předposledním řádků a "vir" se vždy vloží až na poslední, takže se již neodešle.
mandal
Kolemjdoucí

Odeslat příspěvekod bunak 7. 9. 2009 21:17

No asi takhle, dělá to jen na špatně nastavenejch hostingách a není to záležitost TC. Mě to dělá na všech hostingách, kde není tento soubor dynamicky generovaný a hostují u Active-24 (i pipni.cz) Podle všeho používají IIS. Jiné hostingy mi to nedělají (webdum.cz)
bunak

Odeslat příspěvekod tomas7779 7. 9. 2009 21:27

V TC rozhodně chyba není. Po změně hesla a obnově souborů na webu se mě tam již nevrací. Takže doporučuju změnit heslo - neukládat je do TC ani jinejch FTP klientů a přepsat web.
tomas7779
Kolemjdoucí
Uživatelský avatar

Odeslat příspěvekod Gigi 7. 9. 2009 21:58

Souhlasím, dle všeho se jedná o bezpečností chybu ftp serveru. Měl jsem s tím problém asi před rokem, nakonec jsem to řešil povolením připojení k serveru pouze z mé IP a pak už byl navždy klid.
Gigi
Junior

Odeslat příspěvekod mxiq 7. 9. 2009 23:09

Náš poskytovatel používá antivirové kontroly, takže se mi škodlivý kód do stránek sice dostal, ale server všechny soubory index.* po nakažení hmed smazal.
K přepsání souborů došlo jednou z Berlína, podruhé z Číny, podezřívám nějaký botnet. Kde vzal hesla můžu jen hádat, od té doby neukládáme (jsme na to dva) hesla k ftp účtu do TC ani jinam a heslo je o něco složitější, než staré. Zatím je ...zaklepat... klid.
mxiq
Junior
Uživatelský avatar

Odeslat příspěvekod Thomas123 8. 9. 2009 06:17

V oblasti webhostingů moc přehled nemám, ale nepodporuje nějaký připojení a transfer dat přes WinSCP? Mám vlastní server a FTP server jsem tam v žádném případě neinstaloval, protože mi připojení přes WinSCP přijde bezpečnější a lepší. Mám pravdu?
// I vy můžete mít legální software, stačí používat Linux Ubuntu //
Thomas123
Junior
Uživatelský avatar

Odeslat příspěvekod milan123 8. 9. 2009 10:13

Hosting, který dnes umožňuje používat ftp, je nezodpovědný.

SFTP/SCP/FTPS je ta pravá volba pro dnešní den!

Požádejte svůj hosting o okamžité zrušení ftp a podporu šifrovaných protokolů. Pokud to neumožní, změňte okamžitě hosting. V ČR je řada hostingů, které s tím nemají problém.
milan123
Junior

Odeslat příspěvekod xsoft 10. 9. 2009 18:00

Dneska jsem ten <script> chytl taky.
To je uz za 3 tydny podruhe. Sranda je, ze jsem ted v Japonsku a doma na komp niko nesaka. Pred ohletem se to taky zavirovalo, tak jsem odviroval a zmenul heslo. Od te doby neni v TC ulozene.

Dotaz .. pouzivate taky Wordpress a aktualizaci souboru (pluginu)? Tam to heslo chce. Jinak uz nevim. Noutas vypada ciste. Uz me to docela otravuje, vir (script) se porad modifikuje a rucne to odstranovat je napytel.
.: Xsoft :.
xsoft
Junior

Odeslat příspěvekod xsoft 11. 9. 2009 17:25

... prosel jsem logy FTP a jsou ciste. Takze me jeste napada, ze by na serveru mohl byt nejaky stary kod, ktery nekdo zneuzivat. (priklad: stara verze WordPressu, PHP Nuke a podobne).

Zkusim kouknout na logy z Apache... (ale na TC ani FTP to nevypada). Cili zmena hesla nepomuze - pokud mate stejnym zpusobem zaprasene stranky.
.: Xsoft :.
xsoft
Junior

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků