Na FTP se me nahraje javacript a IFRAME, asi virus?

11. 5. 2009 21:20:42

Jednoduchý postup:

Z FTP nahraju všechny soubory index.php na disk, odstraním ze souborů škodlivé kódy, nahraju zpět přes FTP a nastavím práva každého souboru na 555.

11. 5. 2009 21:20:42

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256978

Martin Novotný

(11 hodnocení)

12. 5. 2009 15:00:46

jenze blbej Wordpress, vubec se toho nemuzu z wp zbavit :(

12. 5. 2009 15:00:46

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256977

Lukáš Blaschko

(6 hodnocení)

12. 5. 2009 15:28:52

Napsal ogee;284464
jenze blbej Wordpress, vubec se toho nemuzu z wp zbavit :(

Ahoj na wordpres jsem to uz odstranoval tam je blbe ze jsem to da temer do vsech slozek a ruzne takze to bude chtit vse projit, smazat nastavit prava a popripade zabezpecit hosta proti tomu.

12. 5. 2009 15:28:52

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256976

Switch

(7 hodnocení)

12. 5. 2009 17:04:58

Napsal ogee;284464
jenze blbej Wordpress, vubec se toho nemuzu z wp zbavit :(

Ve WP je v index.php, pak ve slozce wp-admin, tusim, ze je taky v soubouru pluggable.php.... proste to cele musis prolez. Samozrejme, ze ne vsechny soubory.

12. 5. 2009 17:04:58

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256975

drago

(73 hodnocení)

12. 5. 2009 17:12:15

Když jsem to měl u sebe napadlo mi to hodně MFAček a minisites. Zajímavé že ne všechny. Udělal jsem si jednoduchý programék který dokáže najít všechny soubory, které jsou infiltrovány. U WP to infiltruje několik souborů naráz.

Skript je tady:

error_reporting("E_ALL");

set_time_limit(10);

class AshBringer{

function adresar_vyber_polozky($cesta){

$handle=opendir($cesta);

while (false!==($file = readdir($handle))) {

if ($file != "." && $file != ".."){

$polozka[] = $file;

}

return $polozka;

closedir($handle);

}

function vyber_php_soubory($seznam){

$pocet_polozek = count($seznam);

for ($a=0;$a<$pocet_polozek;$a++){

if (substr_count($seznam, ".php") == 1){

$polozka[] = $seznam;

}

return $polozka;

}

function scanuj_soubory($cesta, $soubory){

$pocet_polozek = count($soubory);

for ($a=0;$a<$pocet_polozek;$a++){

$obsah = file_get_contents($cesta.$soubory);

if (substr_count($obsah, "njan.cn") >= 1){

$vadna_polozka[] = $soubory;

}

return $vadna_polozka;

}

function seznam_podadresaru($cesta){

$handle=opendir($cesta);

while (false!==($file = readdir($handle))) {

if ($file != "." && $file != ".."){

if (is_dir($cesta.$file)){

$polozka[] = $file;

}

return $polozka;

closedir($handle);

}

is_dir - yjisti jeslti je soubor adresar

readdir - vrati nazev dalsiho souboru v adresari

substr_count - spocita pocet vyskytu retezce v retezci (retezec, co hledame) a vrati cislo

$d = AshBringer::seznam_podadresaru("./");

for ($cislo=0;$cislo

echo "Adresář: ".$d."
";

$a = AshBringer::adresar_vyber_polozky("./".$d);

$b = AshBringer::vyber_php_soubory($a);

$c = AshBringer::scanuj_soubory($d."/",$b);

echo "Pocet polozek: ".count($a)."
";

echo "Pocet php polozek: ".count($b)."
";

echo "Pocet vadných polozek: ".count($c)."
";

for($a1=0;$a1

echo "nalezen problem u - ".$c."
";

}

Ve funkci scanuj_soubory nahraď njan.cn kusem škodlivého kódu.

12. 5. 2009 17:12:15

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256974

Switch

(7 hodnocení)

12. 5. 2009 22:45:03

Pěknej kód, ale není to moc pomalé když mám na FTP stovky souborů? Jakože se mi tam nelíbí všude ty cykly ;)

12. 5. 2009 22:45:03

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256973

Martin Novotný

(11 hodnocení)

13. 5. 2009 00:05:08

aaaa to je skoda :( prave sem smazal celej hosting a nahravam zalohy co mam a co ne tak delam znova :( skoda

13. 5. 2009 00:05:08

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256972

drago

(73 hodnocení)

13. 5. 2009 02:03:52

Napsal Switch;284829
Pěknej kód, ale není to moc pomalé když mám na FTP stovky souborů? Jakože se mi tam nelíbí všude ty cykly ;)

Tak tohle radši nebudu komentovat :banghead:

13. 5. 2009 02:03:52

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256971

Jiří Šubr

(23 hodnocení)

23. 5. 2009 13:50:49

Taky jsem měl problém, ale teprve nedávno po x letech používání. Nainstaloval jsem FileZillu a změnil všechny hesla a jede to už měsíc ok, navíc FileZilla se mi dost jako klient líbí.

23. 5. 2009 13:50:49

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256970

Webtrh obecný účet

(1 hodnocení)

3. 6. 2009 19:21:26

Konečně jsem o tom našel nějaké informace... díky za diskusi. Velice podařený je ten trik s parametrem pro načtení jiného seznamu přístupů. Zkombinoval jsem pro prevenci všechny metody ochrany. Comp mám zabezpečený, ale teď jsem četl že denně vzniká 1000 nových virů tohle asi není snadný říct, že mám antivirák a jsem v pohodě. Ale co, jde jen o virtuální světy, život běží dál... Mně osobně to nepostihlo, neměl jsem vira ani nepamatuju, ale moji klienti se ozývají jeden po druhém... Tak jsem nechápal co se děje, ale šíří se to neuvěřitelně, zdá se že stačí v exploreru najet na stránku s tím virem a máte to. Jenže já IE nepoužívám. Padla tu zajímavá otázka, kdo ví co to všechno z počítačů odeslalo? Dá se to nějak zjistit? U odhalených virů by mělo být známé i jejich chování.

TC používám dál a těším se na verzi 7.50, někdy zkusím ten Speed, ale asi bych ho nejdřív přeložil do češtiny :-)

3. 6. 2009 19:21:26

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256969

janpavlik

(6 hodnocení)

4. 6. 2009 18:35:22

Napsal lukas_blaschko;284114
Tento vir se neloguje, a jak ho zjistis je v podstate jedno nasledne zabezpeceni je pak jina vec.

Ved on ani nenapisal, ze sa loguje, on len zadal prikaz, nech sa mu zapise do *.log suboru infikovany obsah.

4. 6. 2009 18:35:22

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256968

Pavel Jílek

(81 hodnocení)

8. 6. 2009 13:18:10

Ahoj,

mám stálý problém s Total Commander aneb kvůli virům (iframe). Nenašli jste někdo nějaký způsob jak tomu zabránit? TTCM mám zakoupený, tak bych nerad pracoval s něčím jiným a také jsem na něj zvyklý. Mám nejnovější verzi, ale přesto se s tím stále něco děje.

Děkuji za Vaši pomoc.

8. 6. 2009 13:18:10

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256967

Webtrh obecný účet

(1 hodnocení)

8. 6. 2009 13:26:16

Napsal pawlisko;301000
Ahoj,

mám stálý problém s Total Commander aneb kvůli virům (iframe). Nenašli jste někdo nějaký způsob jak tomu zabránit? TTCM mám zakoupený, tak bych nerad pracoval s něčím jiným a také jsem na něj zvyklý. Mám nejnovější verzi, ale přesto se s tím stále něco děje.

Děkuji za Vaši pomoc.

Já měl problémy nejen s total commanderem, vir mě odposlechnul heslo ze všech ftp programů, i když jsem vymazal hned po krátkém přenosu paměť ftp klienta. A v pc jsem nic nemohl najít. Pak jsem radši přeinstaloval XP současně s nahráním nejnovějších záloh a od té doby je klid.

8. 6. 2009 13:26:16

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256966

Michal Zima

(6 hodnocení)

8. 6. 2009 13:30:19

Napsal pawlisko;301000
Ahoj,

mám stálý problém s Total Commander aneb kvůli virům (iframe). Nenašli jste někdo nějaký způsob jak tomu zabránit? TTCM mám zakoupený, tak bych nerad pracoval s něčím jiným a také jsem na něj zvyklý. Mám nejnovější verzi, ale přesto se s tím stále něco děje.

Děkuji za Vaši pomoc.

Já bych zkusil změnit ta hesla. Pokud je totiž virus vydoloval ze staré verze TC a poslal pryč, tak teďka už nemusí mít změna klienta (či upgrade na bezpečnou verzi TC s šifrovanými hesly) ani moc vliv.

8. 6. 2009 13:30:19

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256965

Pavel Jílek

(81 hodnocení)

8. 6. 2009 13:31:47

hesla jsem měnil včera a dnes zase virus...

8. 6. 2009 13:31:47

https://webtrh.cz/diskuse/na-ftp-se-me-nahraje-javacript-a-iframe-asi-virus/strana/8#reply256964