הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
14-05-09, 23:37 | # 1 |
חבר בקהילה
|
אלוהים ישמור איזה Malware תקף אותי...
מסתבר שנכנס לי למחשב סוס טרויאני - Malware, אין לי מושג איך, אבל הוא התלבש על תוכנת הFTP שלי, שאב כנראה את הסיסמא לשרת, והדביק כל אתר שלי בקוד זדוני לאיזה אתר מסריח.
מי שרוצה פירוט על מה זה ואיך מסירים את הmalware (ואז כמו כושים מסירים מקובץ קובץ את הקוד עבודת נמלים) אפשר לקרוא כאן: http://blog.unmaskparasites.com/2009...jected-script/ כשאני אומר מדביק אני מתכוון לכך שהוא: שתל בכל קובץ Index.php וconfig.php קוד זדוני, בכותרת ובסוף (קוד מוצפן וקוד iframe) שתל בכל קובץ html בין ה/head לbody קוד זדוני שתל בכל תיקיית images קובץ image.php עם קוד זדוני שתל בכל סוף של קובץ js קוד זדוני מוצפן בקיצור חגג לי על השרת, ותחת היוזר שלי יושבים לא מעט אתרים! איזה סיוט זה היה לדוג אחד אחד.. זה הקוד המוצפן שמופיע: ____________ וזה התרגום שלו (לפי איזה תותח אחד מפורום של האקרים): קוד הPHP משתיל JS בדף ששולח מידע על הJscript.dll שלך לאתר http://gumblar.cn/rss/?id=X כאשר X זה הגירסה שלך. שים לב שבגירסאות מסויימות ניתן לנצל פירצה בwindow.ScriptEngine כדי להריץ קוד: http://www.microsoft.com/technet/sec.../MS03-008.mspx הHTML עושה אותו דבר... איך להיפטר? תמחק את הקוד מהקבצים ואל תיכנס לשירותי WEBFTP חינמיים אם זה לא עוזר תעבור על הקבצים והcronjobs בשרת שלך. בקיצור, לא עסק נעים בכלל, ואנלא מאחל לאף אחד לעבור את זה. למדתי לחיות בשלום עם האנטי וירוס שלי שמאט לי את המחשב.. לפחות הוא יגן עלי מדברים כאלה (עברתי לAvira אחרי שAVG איכזב) |
15-05-09, 09:15 | # 2 |
חבר בקהילה
|
כל פעם חבר שלי אומר לי שבגוגל רשום לאתר שלי: קוד זדוני משהו כזה..
אני מסתכל בקבצים ומחטט בשרת ולא מוצא כלום. תוכלו להגיד לי הקוד הבא הוא זדוני? עריכה: עכשיו אני רואה שזה אותו קוד, וואי וואי! זה נמצא בconfig.php ויש מצב בעוד קבצים... ואם אני מוחק אותו אז פתאום יש שגיאה באתר, מה אני צריך לעשות? Last edited by 106FM; 15-05-09 at 09:20.. |
15-05-09, 09:44 | # 3 |
חבר מתקדם
|
בס"ד
לא ידעתי שיש כאלה דברים |
15-05-09, 10:44 | # 4 |
מנהל ראשי
|
קטעי הקוד נמחקו שכן האנטי וירוסים "מתלוננים" עליהם.
וירוס מוכר, דרכי הטיפול: 1. שינוי מיידי של סיסמאות הFTP, אכסנו אותם במייל אבל אל תכניסו אותם לתוכנה כלשהיא, הוירוס מבצע sniffing על התקשורת היוצאת בפורט 21. 2. סריקה של המחשב באנטי וירוס, מומלץ בKaspersky או nod32, חשוב לציין שאנטי וירוסים חינמיים (כמו avg) לא עולים על הוירוס. 3. בקשו מחברת האכסון שלכם לשחזר את הקבצים (במידה וניתן) ליום לפני ההדבקה. |
15-05-09, 11:24 | # 5 | |
חבר בקהילה
|
ציטוט:
|
|
15-05-09, 11:50 | # 6 |
I am root
|
בוקר טוב לכם.
הכנתי סקריפט שסורק את השרתים ובודק אם הקוד הזה קיים בדפים שלכם... אתם צריכים גישת רוט כדי להשתמש בו, אז זה יותר מיועד לבעלי שרתים תסלחו לי שהבלוג הוא על מערכת מוכנה ,אבל זה לטובת הקהילה אז אני מרשה לעצמי "להסתכן". http://www.blog.isra3l.net/?p=184 יום נעים! ובהצלחה בניקוי אם נדבקתם... פעם הבאה תתקינו אנטי וירוס נורמאלי. לגבי השאלה של 106FM - ניתן לנקות, אם תעבור קובץ קובץ ותעיף את הזבל שנכנס....., לפחות זו השיטה הקשה. לגבי השיטה הקלה? כשאני אתקל במצב שאני צריך למצוא אותה.. אני אמצא ... |
15-05-09, 11:54 | # 7 | |
חבר בקהילה
|
ציטוט:
|
|
15-05-09, 11:57 | # 8 | |
I am root
|
ציטוט:
כי כשהאתר פגוע, זה לא אומר שהוא לא עובד.. זה רק אומר שהוא פגוע, משמע התוכן עצמו לא נפגע, אלא רק מתווסף "אקסטרה" תוכן ... או שאני טועה ומישהו שיותר מבין ב PHP ממני יתקן אותי עכשיו .. ( ? ) |
|
15-05-09, 13:20 | # 9 |
חבר חדש
|
פאק, לא סובל שזה קורה =\
__________________
פרטי יצירת קשר: אייסיקיו: 48880426 מסנג'ר: barak[@]lodex.co.il
|
15-05-09, 13:51 | # 10 |
מנהל ראשי
|
חשוב להדגיש,
הוירוס הזה קיים בעשרות תבניות שונות. |
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|