Tinklalapis laikomas kenkėjišku!

Sveiki, iškilo problema, į tinklapius kurie stovi ant vieno vartotojo hostingo įsivėlė virusas. Kaip juos panaikinti, pirmiausia ką atradau tai į „index“ failą atsiranda įrašas: po <?php atsiranda: eval(base64_decode('ZXJyb3Jfcm.......) iššifravus tą kodą kažkokie ip adresai.

Pirmiausia per kita kompą pakeičiau ftp slaptažodį, turėjau kopijas poros dienų (kol dar nebuvo to viso) viską sukėliau, tvarkoj pripažino google, kad nebėra kenkėjiškų, ir vėl po pusdienio tas pats, įdomiausia tai, kad po to kai index failą įkėliau, po pusdienio, ir vėl atsirado tas kodas, o redagavimo data nepasikeitė.

Gal kam yra taip buvę, ir gal žinote kaip visa tai įspręsti? AČIŪ.

An encoded javascript (or a redirection to it) was detected, leading browsers to the Blackhole Exploit kit (v1.x). It attempts to exploit the browser of anyone visiting the site using a combination of multiple vulnerabilities (Java, Adobe PDF, Flash and others). This is one of the most common type of malware we are seeing on web sites lately (2012/Mar).

 

Note that any PHP, JS or .htaccess could be compromised by this type of malware.

 

 

Affecting: Any web site. Often on outdated WordPress, Joomla and osCommerce sites.

Pasitikrink .htaccess.

Praeik visus javascript failus (gali pvz. su textcrawler).

Praeik visus php failus.

Paieškok ar nėra naujų php failų, užvadintų kaip nors nesąmoningai - 9wrdg15s45gjh1įity15.php ar panašiai. Jei yra - trink lauk.

Jei turi wordpressą, tai susiieškok Wordpress Antivirus pluginą.

Tikrink su http://sucuri.net

Pasitikrink .htaccess.

Praeik visus javascript failus (gali pvz. su textcrawler).

Praeik visus php failus.

Paieškok ar nėra naujų php failų, užvadintų kaip nors nesąmoningai - 9wrdg15s45gjh1įity15.php ar panašiai. Jei yra - trink lauk.

Jei turi wordpressą, tai susiieškok Wordpress Antivirus pluginą.

 

Tikrink su http://sucuri.net

Jo, yra toks failas: a6424298b96176e.... ištrinu, vėl atsiranda. Ir rašo redaguotas, 54minutėm veliau nei yra. Jame irgi visokie IP adresai.

Tą virusą kažkaip turėjo įkelt, reiškia pas tave yra vulnerability, taigi, ne virusą naikink, o pažeidžiamumą. Kitu atveju hakeris jı gali ıkelt iš naujo ir iš naujo, o jam kas, jei jau žino kur pažeidžiamumas... Įsijungi havij, 2minutės, ir vėl tavo web užkrėstas.. ;)

na taip, visai įmanoma, kad pas žmogų yra file upload funkcija kažkokia image ar tai kokio kitokio failo, ir klaida palikta, kelia PHP failus

Manau, jog ilindo per wordpressą. Ar tokio nenaudoji?

ir galiu pasakyti, kad čia ne pas tave vieną taip yra, dabar toks žmogelis yra, kuris skelbiasi turintis tinklapių DB kopijas ir jas pardavinėja... Vakar išsiaiškinau, jog tai linux90 ar koks ten, žodžius su sauliumi susijęs, tai jis atsiuntė kaip įrodymą frag.lt, mpr3on.lt ir dar kitų žinomų svetainių userių lenteles... Patarčiau daugumai persižiūrėti savo scriptus

 

1173 sO ******************************** [email protected]

1 manex ******************************** [email protected]

3 SeasoN ******************************** [email protected]

2 Arnas ******************************** [email protected]

8 becik ******************************** [email protected]

 

Manau, jog ilindo per wordpressą. Ar tokio nenaudoji?

wordpress'o nenaudoju

Manau, jog ilindo per wordpressą. Ar tokio nenaudoji?

visos TVS turi savų pažeidžiamumų, įskiepiai padaro jų dar daugiau, bent aš pastoviai pats su hack tools'ais praskenuoju savo saitus, jei yra pažeidžiamumų, taisau...

sveiki,gal temos autorius nesupyks.pas mane i joomla isimete iframe virusas.infekuoti visi javascript failai.

ar yra koks automatizuotas budas ta sutvarkyti?kaip rasti skyle ,ko tureciau imtis?

O kaip rasti kur yra pažeidžiama?