אלוהים ישמור איזה Malware תקף אותי...
 

מסתבר שנכנס לי למחשב סוס טרויאני - Malware, אין לי מושג איך, אבל הוא התלבש על תוכנת הFTP שלי, שאב כנראה את הסיסמא לשרת, והדביק כל אתר שלי בקוד זדוני לאיזה אתר מסריח.

מי שרוצה פירוט על מה זה ואיך מסירים את הmalware (ואז כמו כושים מסירים מקובץ קובץ את הקוד עבודת נמלים) אפשר לקרוא כאן:
http://blog.unmaskparasites.com/2009...jected-script/

כשאני אומר מדביק אני מתכוון לכך שהוא:
שתל בכל קובץ Index.php וconfig.php קוד זדוני, בכותרת ובסוף (קוד מוצפן וקוד iframe)
שתל בכל קובץ html בין ה/head לbody קוד זדוני
שתל בכל תיקיית images קובץ image.php עם קוד זדוני
שתל בכל סוף של קובץ js קוד זדוני מוצפן

בקיצור חגג לי על השרת, ותחת היוזר שלי יושבים לא מעט אתרים!

איזה סיוט זה היה לדוג אחד אחד..

זה הקוד המוצפן שמופיע:
____________

וזה התרגום שלו (לפי איזה תותח אחד מפורום של האקרים):

קוד הPHP משתיל JS בדף ששולח מידע על הJscript.dll שלך לאתר
http://gumblar.cn/rss/?id=X
כאשר X זה הגירסה שלך.
שים לב שבגירסאות מסויימות ניתן לנצל פירצה בwindow.ScriptEngine כדי להריץ קוד:
http://www.microsoft.com/technet/sec.../MS03-008.mspx
הHTML עושה אותו דבר...

איך להיפטר? תמחק את הקוד מהקבצים ואל תיכנס לשירותי WEBFTP חינמיים אם זה לא עוזר תעבור על הקבצים והcronjobs בשרת שלך.


בקיצור, לא עסק נעים בכלל, ואנלא מאחל לאף אחד לעבור את זה.
למדתי לחיות בשלום עם האנטי וירוס שלי שמאט לי את המחשב.. לפחות הוא יגן עלי מדברים כאלה :)
(עברתי לAvira אחרי שAVG איכזב)

כל פעם חבר שלי אומר לי שבגוגל רשום לאתר שלי: קוד זדוני משהו כזה..

אני מסתכל בקבצים ומחטט בשרת ולא מוצא כלום.

תוכלו להגיד לי הקוד הבא הוא זדוני?


עריכה:
עכשיו אני רואה שזה אותו קוד, וואי וואי! זה נמצא בconfig.php :(

ויש מצב בעוד קבצים...
ואם אני מוחק אותו אז פתאום יש שגיאה באתר, מה אני צריך לעשות?

בס"ד

לא ידעתי שיש כאלה דברים

קטעי הקוד נמחקו שכן האנטי וירוסים "מתלוננים" עליהם.

וירוס מוכר,
דרכי הטיפול:
1. שינוי מיידי של סיסמאות הFTP, אכסנו אותם במייל אבל אל תכניסו אותם לתוכנה כלשהיא, הוירוס מבצע sniffing על התקשורת היוצאת בפורט 21.
2. סריקה של המחשב באנטי וירוס, מומלץ בKaspersky או nod32, חשוב לציין שאנטי וירוסים חינמיים (כמו avg) לא עולים על הוירוס.
3. בקשו מחברת האכסון שלכם לשחזר את הקבצים (במידה וניתן) ליום לפני ההדבקה.

יש איזשהיא אפשרות לתקן זאת אך לא ע"י שחזור הקבצים?

בוקר טוב לכם.
הכנתי סקריפט שסורק את השרתים ובודק אם הקוד הזה קיים בדפים שלכם...
אתם צריכים גישת רוט כדי להשתמש בו, אז זה יותר מיועד לבעלי שרתים
תסלחו לי שהבלוג הוא על מערכת מוכנה ,אבל זה לטובת הקהילה אז אני מרשה לעצמי "להסתכן".
http://www.blog.isra3l.net/?p=184

יום נעים! ובהצלחה בניקוי אם נדבקתם... פעם הבאה תתקינו אנטי וירוס נורמאלי.

לגבי השאלה של 106FM - ניתן לנקות, אם תעבור קובץ קובץ ותעיף את הזבל שנכנס....., לפחות זו השיטה הקשה.
:)
לגבי השיטה הקלה? כשאני אתקל במצב שאני צריך למצוא אותה.. אני אמצא ...

הבעיה היא שכאשר אני מוריד אותה, את השורה. האתר לא עובד, הוא מציג לי שגיאה או את המשך הקוד..

אני לא מתיימר להיות מבין גדול ב PHP , וגם לא ממש מנסה יותר מידי.. אבל נראה לי שאתה צריך לשים לב איפה מתחילה הפונקציה הזדונית ואיפה היא נגמרת, אולי אתה מפספס משהו בזמן הניקוי...
כי כשהאתר פגוע, זה לא אומר שהוא לא עובד.. זה רק אומר שהוא פגוע, משמע התוכן עצמו לא נפגע, אלא רק מתווסף "אקסטרה" תוכן ...
או שאני טועה ומישהו שיותר מבין ב PHP ממני יתקן אותי עכשיו .. ( ? )

פאק, לא סובל שזה קורה =\

חשוב להדגיש,
הוירוס הזה קיים בעשרות תבניות שונות.

יש לך תבניות נוספות לשתף אותנו בהם?
מעבר ל tmp_lko שבינתיים נראה הכי נפוץ ברשת?

יש איזה משהו שאפשר לאבטח שלפעם הבאה זה לא יקרה?
או משהו כזה...

אנטי וירוס טוב ומעודכן.

כמה עדכונים והערות
 

שים לב - אחרי שאתה מוריד את השורה, תוסיף את התוים: ?> בתחילת הקובץ, אחרת זה יציג לך כמו שאתה אומר - את הקוד עצמו.

עכשיו עוד משהו - שימו לב:
*הקוד מדביק לכם את הקבצים index.php ו-config.php ולפעמים עוד קבצים באתר, תסרקו את כל הקבצים שלכם!
* לכל קבצי ה-html הוא מוסיף קוד זדוני בין ה/head ל-body עם iframe.
* הוא מדביק את כל קבצי הjs שלכם (מוסיף בסוף הקבצים 3 שורות זדוניות)
* הוא מוסיף קובץ image.php לכל תיקיה בשם images שיש לכם בשרת
* הוא מוסיף לאחד האתרים שלכם קובץ לא מוכר, אני כבר לא זוכר איך קוראים לו, שלדעתי הוא זה שאחראי על ההדבקה המחודשת, נסו למצוא קובץ חשוד ולא מוכר בתיקיה הראשית של האתר שלכם, שלא שייך לכם (כל מה שרשום בו זה קוד זדוני מוצפן).

עכשיו לגבי קבצי ה php - הוא מוסיף קוד זדוני גם בתחילת הקובץ בכותרת, וגם(!) בסוף הקובץ (במקום האחרון שרשום בו ?>) זה מוסיף שם שורה של echo עם קוד זדוני..

בקיצור לא פשוט להפטר מזה, אבל זה נכון - מי שרשם מעלי - אנחנו, בוני האתרים, צריכים להזהר פי כמה עם תוכנות אנטי וירוס וanti malwareים כאלה..

נתתי בהתחלה קישור לאתר עם ה-12 עובדות על הוירוס, הוא מציע שם כלי לניקוי המחשב שמאוד מומלץ, גם אני ניסיתי אותו - אחרי שסרקתי עם הכלי הזה ושיניתי את הסיסמא בftp, וניקיתי את הקבצים, הקוד יותר לא מתעדכן לי.
גם התקנתי את האנטי וירוס Avira. אחרי שהיה לי AVG שלא עבד וסתם האט לי את המחשב..

וyonatan אתה מלך שכתבת את הסקריפט הזה, כל הכבוד! (רק שאין לי גישה לLinux של השרת חח)