Malware pe site-uri

Momentan administrez cateva site-uri. Unele cu un cod sursa custom si altele open source.

Toate acestea au fost infectate cu malware ( nu de mine ) cu un tag iframe ( antivirusul mi-a dat o eroare ). Din cate am inteles au mai fost si altii infectati concomitent cu mine.

E vorba de un script inserat in header sau in footer ( in header separa partea de sus fata de browser cu o distanta considerabila) . Am avut chmod 777 pe toate ( l-am modificat dupa sfatul unui prieten ) .

Asa arata scriptul respectiv.

<script>function c267ccf4e5i49d4af69b26bf(i49d4af69b2aa1){  ... </script>

Nu a contat daca idex e facut in format html sau php. Site-urile nu au nici o legatura unul cu celelalte ( nici macar link ) .
Am scapat stergand bucata de cod si re-uploadarea indexului.
Host am de la romarg si cealalta persoana afectata are in alta parte ( nush unde ).
Nu vreau sa alarmez pe nimeni , poate doar noi am fost tine (desi eu sunt low profile pe net , fara "prieteni speciali" ) , dar ar fi bine sa va uitati si voi , nu strica.

Edited by pstdgt, 03 April 2009 - 15:49.

problema e ca daca ai tras acel fisier pe calculator ai reusit sa infectezi si alte fisiere...
in plus, daca folosesti totalcommander iti poate ataca wcx_ftp.ini astfel incat iti ia toate adresele si parolele de ftp si le infecteaza pe toate
nu e gluma, vorbesc cat se poate de serios...

Si ce trebuie sa fac... ca sa scap de nenorocirea asta ??

Folosesc Filezilla.. el poate fi afectat ?

Edited by Lecron89, 02 April 2009 - 21:14.

Am avut si eu ;-( - trebuea sa schimb toate password la servere.
Instaleaza http://www.malwarebytes.org/ si http://download.cnet...4-10122137.html si uitete daca gaseste ceva
Deinstaleaza toate java din "Software" - la mine a intrat prin java - am avut o versiune veche instalata.
Idioti de la Java nu instaleaza peste versiunele vechi - si le lasa pe PC. ia de la java.com ultima versiune de java (SE 6 U13)
daca ai Firefox scrie in adresa: "about:plugins" sa vezi ce versiune de java ai instalat.
Fa un update si la Adobe Reader - sa gasit o greseala in versiunese dinainte (ultimul este 9.1.0) care poate fi atacata....

soundbites

Am rezolvat... am luat sursele la mana si am scos respectivul cod.
am dat chmod 755 si se pare ca momentan totul este ok
Multumesc pt. sfaturi.

La mine au revenit. Astept sa vina rds-ul...de pe vodafone nu pot lua la mana 5 gb...

lord_ice, on Apr 4 2009, 18:54, said:

5gb de fisiere? @_@

yup.

lord_ice, on Apr 4 2009, 20:01, said:

Tot ce iti pot ura este SUCCES SI BAFTA!!!!!! @_@

web_dude, on Apr 4 2009, 20:27, said:

Multumesc! Iti doresc la fel, sa cresti mare si sa devii un bun webmaster!

lord_ice, on Apr 4 2009, 23:47, said:

Dar explica-mi de ce  trebuie sa dezinfectezi fiecare fisier? nu poti lasa totul balta,sau e ceva important?

depinde cum privesti lucrurile: crezi ca daca vine inundatia, eu care stau la garsoniera o parasesc mai repede decat ala care are vila?

web_dude, on Apr 4 2009, 23:51, said:

  Nu as lasa totul balta nici daca nu ar fi ne-important. Is prea ambitios, nu-mi place sa pierd si evit sentimentul. Incerc sa vad cine si ce treaba are pe aici, dupa sa-i reintorc favoarea cu ajutorul unor amici.

Comparatia lui soul era ideala, dar nu cred ca inca ai ajuns la maturitatea necesara pentru a o intelege.

Upgradati Apache la noua versiune, au folosit un exploit de apache (parca nu am scris mai sus).