אלוהים ישמור איזה Malware תקף אותי... - הוסטס

spi7fire · 14-05-09, 23:37

מסתבר שנכנס לי למחשב סוס טרויאני - Malware, אין לי מושג איך, אבל הוא התלבש על תוכנת הFTP שלי, שאב כנראה את הסיסמא לשרת, והדביק כל אתר שלי בקוד זדוני לאיזה אתר מסריח.

מי שרוצה פירוט על מה זה ואיך מסירים את הmalware (ואז כמו כושים מסירים מקובץ קובץ את הקוד עבודת נמלים) אפשר לקרוא כאן:
http://blog.unmaskparasites.com/2009...jected-script/

כשאני אומר מדביק אני מתכוון לכך שהוא:
שתל בכל קובץ Index.php וconfig.php קוד זדוני, בכותרת ובסוף (קוד מוצפן וקוד iframe)
שתל בכל קובץ html בין ה/head לbody קוד זדוני
שתל בכל תיקיית images קובץ image.php עם קוד זדוני
שתל בכל סוף של קובץ js קוד זדוני מוצפן

בקיצור חגג לי על השרת, ותחת היוזר שלי יושבים לא מעט אתרים!

איזה סיוט זה היה לדוג אחד אחד..

זה הקוד המוצפן שמופיע:
____________

וזה התרגום שלו (לפי איזה תותח אחד מפורום של האקרים):

קוד הPHP משתיל JS בדף ששולח מידע על הJscript.dll שלך לאתר
http://gumblar.cn/rss/?id=X
כאשר X זה הגירסה שלך.
שים לב שבגירסאות מסויימות ניתן לנצל פירצה בwindow.ScriptEngine כדי להריץ קוד:
http://www.microsoft.com/technet/sec.../MS03-008.mspx
הHTML עושה אותו דבר...

איך להיפטר? תמחק את הקוד מהקבצים ואל תיכנס לשירותי WEBFTP חינמיים אם זה לא עוזר תעבור על הקבצים והcronjobs בשרת שלך.

בקיצור, לא עסק נעים בכלל, ואנלא מאחל לאף אחד לעבור את זה.
למדתי לחיות בשלום עם האנטי וירוס שלי שמאט לי את המחשב.. לפחות הוא יגן עלי מדברים כאלה

(עברתי לAvira אחרי שAVG איכזב)

106FM · 15-05-09, 09:15

כל פעם חבר שלי אומר לי שבגוגל רשום לאתר שלי: קוד זדוני משהו כזה..

אני מסתכל בקבצים ומחטט בשרת ולא מוצא כלום.

תוכלו להגיד לי הקוד הבא הוא זדוני?

עריכה:
עכשיו אני רואה שזה אותו קוד, וואי וואי! זה נמצא בconfig.php

ויש מצב בעוד קבצים...
ואם אני מוחק אותו אז פתאום יש שגיאה באתר, מה אני צריך לעשות?

ToxicBoy21 · 15-05-09, 09:44

בס"ד

לא ידעתי שיש כאלה דברים

**דניאל** · 15-05-09, 10:44

קטעי הקוד נמחקו שכן האנטי וירוסים "מתלוננים" עליהם.

וירוס מוכר,
דרכי הטיפול:
1. שינוי מיידי של סיסמאות הFTP, אכסנו אותם במייל אבל אל תכניסו אותם לתוכנה כלשהיא, הוירוס מבצע sniffing על התקשורת היוצאת בפורט 21.
2. סריקה של המחשב באנטי וירוס, מומלץ בKaspersky או nod32, חשוב לציין שאנטי וירוסים חינמיים (כמו avg) לא עולים על הוירוס.
3. בקשו מחברת האכסון שלכם לשחזר את הקבצים (במידה וניתן) ליום לפני ההדבקה.

106FM · 15-05-09, 11:24

ציטוט:

נכתב במקור על ידי TelecarT

קטעי הקוד נמחקו שכן האנטי וירוסים "מתלוננים" עליהם.

וירוס מוכר,
דרכי הטיפול:
1. שינוי מיידי של סיסמאות הFTP, אכסנו אותם במייל אבל אל תכניסו אותם לתוכנה כלשהיא, הוירוס מבצע sniffing על התקשורת היוצאת בפורט 21.
2. סריקה של המחשב באנטי וירוס, מומלץ בKaspersky או nod32, חשוב לציין שאנטי וירוסים חינמיים (כמו avg) לא עולים על הוירוס.
3. בקשו מחברת האכסון שלכם לשחזר את הקבצים (במידה וניתן) ליום לפני ההדבקה.

יש איזשהיא אפשרות לתקן זאת אך לא ע"י שחזור הקבצים?

**yonatan** · 15-05-09, 11:50

בוקר טוב לכם.
הכנתי סקריפט שסורק את השרתים ובודק אם הקוד הזה קיים בדפים שלכם...
אתם צריכים גישת רוט כדי להשתמש בו, אז זה יותר מיועד לבעלי שרתים
תסלחו לי שהבלוג הוא על מערכת מוכנה ,אבל זה לטובת הקהילה אז אני מרשה לעצמי "להסתכן".
http://www.blog.isra3l.net/?p=184

יום נעים! ובהצלחה בניקוי אם נדבקתם... פעם הבאה תתקינו אנטי וירוס נורמאלי.

לגבי השאלה של 106FM - ניתן לנקות, אם תעבור קובץ קובץ ותעיף את הזבל שנכנס....., לפחות זו השיטה הקשה.

לגבי השיטה הקלה? כשאני אתקל במצב שאני צריך למצוא אותה.. אני אמצא ...

106FM · 15-05-09, 11:54

ציטוט:

נכתב במקור על ידי yonatan

בוקר טוב לכם.
הכנתי סקריפט שסורק את השרתים ובודק אם הקוד הזה קיים בדפים שלכם...
אתם צריכים גישת רוט כדי להשתמש בו, אז זה יותר מיועד לבעלי שרתים
תסלחו לי שהבלוג הוא על מערכת מוכנה ,אבל זה לטובת הקהילה אז אני מרשה לעצמי "להסתכן".
http://www.blog.isra3l.net/?p=184

יום נעים! ובהצלחה בניקוי אם נדבקתם... פעם הבאה תתקינו אנטי וירוס נורמאלי.

לגבי השאלה של 106FM - ניתן לנקות, אם תעבור קובץ קובץ ותעיף את הזבל שנכנס....., לפחות זו השיטה הקשה.

לגבי השיטה הקלה? כשאני אתקל במצב שאני צריך למצוא אותה.. אני אמצא ...

הבעיה היא שכאשר אני מוריד אותה, את השורה. האתר לא עובד, הוא מציג לי שגיאה או את המשך הקוד..

**yonatan** · 15-05-09, 11:57

ציטוט:

נכתב במקור על ידי 106FM

הבעיה היא שכאשר אני מוריד אותה, את השורה. האתר לא עובד, הוא מציג לי שגיאה או את המשך הקוד..

אני לא מתיימר להיות מבין גדול ב PHP , וגם לא ממש מנסה יותר מידי.. אבל נראה לי שאתה צריך לשים לב איפה מתחילה הפונקציה הזדונית ואיפה היא נגמרת, אולי אתה מפספס משהו בזמן הניקוי...
כי כשהאתר פגוע, זה לא אומר שהוא לא עובד.. זה רק אומר שהוא פגוע, משמע התוכן עצמו לא נפגע, אלא רק מתווסף "אקסטרה" תוכן ...
או שאני טועה ומישהו שיותר מבין ב PHP ממני יתקן אותי עכשיו .. ( ? )

Barakzz · 15-05-09, 13:20

פאק, לא סובל שזה קורה =\

**דניאל** · 15-05-09, 13:51

חשוב להדגיש,
הוירוס הזה קיים בעשרות תבניות שונות.

14-05-09, 23:37	# 1
spi7fire חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 325	אלוהים ישמור איזה Malware תקף אותי... מסתבר שנכנס לי למחשב סוס טרויאני - Malware, אין לי מושג איך, אבל הוא התלבש על תוכנת הFTP שלי, שאב כנראה את הסיסמא לשרת, והדביק כל אתר שלי בקוד זדוני לאיזה אתר מסריח. מי שרוצה פירוט על מה זה ואיך מסירים את הmalware (ואז כמו כושים מסירים מקובץ קובץ את הקוד עבודת נמלים) אפשר לקרוא כאן: http://blog.unmaskparasites.com/2009...jected-script/ כשאני אומר מדביק אני מתכוון לכך שהוא: שתל בכל קובץ Index.php וconfig.php קוד זדוני, בכותרת ובסוף (קוד מוצפן וקוד iframe) שתל בכל קובץ html בין ה/head לbody קוד זדוני שתל בכל תיקיית images קובץ image.php עם קוד זדוני שתל בכל סוף של קובץ js קוד זדוני מוצפן בקיצור חגג לי על השרת, ותחת היוזר שלי יושבים לא מעט אתרים! איזה סיוט זה היה לדוג אחד אחד.. זה הקוד המוצפן שמופיע: ____________ וזה התרגום שלו (לפי איזה תותח אחד מפורום של האקרים): קוד הPHP משתיל JS בדף ששולח מידע על הJscript.dll שלך לאתר http://gumblar.cn/rss/?id=X כאשר X זה הגירסה שלך. שים לב שבגירסאות מסויימות ניתן לנצל פירצה בwindow.ScriptEngine כדי להריץ קוד: http://www.microsoft.com/technet/sec.../MS03-008.mspx הHTML עושה אותו דבר... איך להיפטר? תמחק את הקוד מהקבצים ואל תיכנס לשירותי WEBFTP חינמיים אם זה לא עוזר תעבור על הקבצים והcronjobs בשרת שלך. בקיצור, לא עסק נעים בכלל, ואנלא מאחל לאף אחד לעבור את זה. למדתי לחיות בשלום עם האנטי וירוס שלי שמאט לי את המחשב.. לפחות הוא יגן עלי מדברים כאלה (עברתי לAvira אחרי שAVG איכזב)

15-05-09, 09:15	# 2
106FM חבר בקהילה מיני פרופיל תאריך הצטרפות: Feb 2009 הודעות: 108	כל פעם חבר שלי אומר לי שבגוגל רשום לאתר שלי: קוד זדוני משהו כזה.. אני מסתכל בקבצים ומחטט בשרת ולא מוצא כלום. תוכלו להגיד לי הקוד הבא הוא זדוני? עריכה: עכשיו אני רואה שזה אותו קוד, וואי וואי! זה נמצא בconfig.php ויש מצב בעוד קבצים... ואם אני מוחק אותו אז פתאום יש שגיאה באתר, מה אני צריך לעשות? Last edited by 106FM; 15-05-09 at 09:20..

15-05-09, 09:44	# 3
ToxicBoy21 חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2007 גיל: 32 הודעות: 409	בס"ד לא ידעתי שיש כאלה דברים __________________ נשירת שיער שיער דליל

15-05-09, 10:44	# 4
דניאל מנהל ראשי מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 39 הודעות: 6,503	קטעי הקוד נמחקו שכן האנטי וירוסים "מתלוננים" עליהם. וירוס מוכר, דרכי הטיפול: 1. שינוי מיידי של סיסמאות הFTP, אכסנו אותם במייל אבל אל תכניסו אותם לתוכנה כלשהיא, הוירוס מבצע sniffing על התקשורת היוצאת בפורט 21. 2. סריקה של המחשב באנטי וירוס, מומלץ בKaspersky או nod32, חשוב לציין שאנטי וירוסים חינמיים (כמו avg) לא עולים על הוירוס. 3. בקשו מחברת האכסון שלכם לשחזר את הקבצים (במידה וניתן) ליום לפני ההדבקה. __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977

15-05-09, 11:50	# 6
yonatan I am root מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: אשדוד גיל: 38 הודעות: 3,910	בוקר טוב לכם. הכנתי סקריפט שסורק את השרתים ובודק אם הקוד הזה קיים בדפים שלכם... אתם צריכים גישת רוט כדי להשתמש בו, אז זה יותר מיועד לבעלי שרתים תסלחו לי שהבלוג הוא על מערכת מוכנה ,אבל זה לטובת הקהילה אז אני מרשה לעצמי "להסתכן". http://www.blog.isra3l.net/?p=184 יום נעים! ובהצלחה בניקוי אם נדבקתם... פעם הבאה תתקינו אנטי וירוס נורמאלי. לגבי השאלה של 106FM - ניתן לנקות, אם תעבור קובץ קובץ ותעיף את הזבל שנכנס....., לפחות זו השיטה הקשה. לגבי השיטה הקלה? כשאני אתקל במצב שאני צריך למצוא אותה.. אני אמצא ... __________________ אחסון אתרים - Red Hat Certified עקבו אחרינו בטוויטר!


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

15-05-09, 13:20	# 9
Barakzz חבר חדש מיני פרופיל תאריך הצטרפות: May 2009 הודעות: 18	פאק, לא סובל שזה קורה =\ __________________ אחסון חינמי אחסון בחינם אחסון אתרים פרטי יצירת קשר: אייסיקיו: 48880426 מסנג'ר: barak[@]lodex.co.il

15-05-09, 13:51	# 10
דניאל מנהל ראשי מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 39 הודעות: 6,503	חשוב להדגיש, הוירוס הזה קיים בעשרות תבניות שונות. __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)