Exploit JavaScript Obfuscation
Mám problém s bezpečnostními hlášeními. Po nahrání na server stránky fungují chvíli správně, ale od určitého okamžiku mě na ně nepustí antivirák, kvůli nalezené infekci s názvem Exploit JavaScript Obfuscation. Zjistil jsem, že se do kódu všech souborů v havním adresáři přidá většinou ještě tentýž den kus kódu v tagu <script>, který ale není od mne. Znemožní se tak pak díky antiviráku přístup na všechny stránky a podstránky v hlavním adresáři. Nneí to problém jen zde, dělá mi to i u stránek na swebu. Můžete mi poradit?
Ve kterém souboru? Kromě povinné reklamy v index.htm žádný další <script> nevidím.
<HTML>Ondra: zřejmě jste napaden virem. Projděte programy po spuštění, projděte běžící procesy, zavřete všechna okna v prohlížeči a zkontrolujte jeho startovní stránku, změňte hesla na FTP, neukládejte je nikam do počítače (ale do své hlavy), používejte bezpečný prohlížeč a nainstalujte si bezpečný operační systém. Nic dalšího mě nenapadá.</HTML>
Kit: Právě že časem se to objeví ve všech souborech v hlavním adresáři. Před chvílí jsem některé věci nahrával znova, akuálně by to mělo být například tady: bluegrassguitar.wz.cz/kontakt.htm , ../odkazy.htm nebo ../ome.htm. Hlásí vám to taky hlášku od antiviráku, když chcete jít na některou z těchto stránek?
Nípal: V běžících procesech je toho spousta, ale nevím, co by mohlo být potenciálně nebezpečné. Aktuální verze AVG mi nic nehlásí. Hesla změním a neuložím, uvidíme, jestli to pomůže. Používám Mozillu a Windows XP.
Nípal: V běžících procesech je toho spousta, ale nevím, co by mohlo být potenciálně nebezpečné. Aktuální verze AVG mi nic nehlásí. Hesla změním a neuložím, uvidíme, jestli to pomůže. Používám Mozillu a Windows XP.
Antiviráky nepoužívám, nic mi to tedy nemůže hlásit, ale ten závadný skript vidím. Asi bude potřeba nejprve odvirovat OS, případně si nainstalovat nějaký bezpečnější, jak už naznačil Nípal.
Všiml jsem si, že v postižených souborech je navíc jedno "e" před tečkou, tedy indexe.htm, tabse.htm, DVDe.htm apod. Asi by bylo dobré tyto postižené soubory smazat.
To jsou soubory s anglickou verzí stránek, protože jsou v hlavním adresáři, tak jsou napadené taky. Zajímavé je, že kdybych je měl v podadresáři (jak mám např. i jiných svých stránek na swebu), tak napadeny nebudou. Jak mám odvirovat OS? AVG se zdá být asi k ničemu že? Který je ten bezpečnější OS? Nějak se mi do toho nechce, když jinak je všechno ostatní (zatím) v pořádku.
Mám asi blbý antivir - nic mi nenajde (NOD). Anebo jsi to stihl už odvirovat...
V podstatě cokoli kromě produktů Microsoftu.
Antivirové programy fungují tak, že honí kunu, která se volně pohybuje uvnitř zavřeného kurníku. V principu jsou tedy všechny špatné, nevybereš si. Docílíš akorát zpomalení PC.
Zásadní chybou je provozování operačního systému s administrátorskými právy, což IMHO dělá většina běžných uživatelů Windows.
- zavři okna, kde si prohlížíš své stránky
- změň heslo na FTP
- najdi si nějaké udělátko na odstranění toho exploitu
- zkontroluj lokální prezentaci, zda je čistá
- nahrej soubory znovu přes FTP. Heslo neukládej
- zkontroluj prezentaci
Antivirové programy fungují tak, že honí kunu, která se volně pohybuje uvnitř zavřeného kurníku. V principu jsou tedy všechny špatné, nevybereš si. Docílíš akorát zpomalení PC.
Zásadní chybou je provozování operačního systému s administrátorskými právy, což IMHO dělá většina běžných uživatelů Windows.
- zavři okna, kde si prohlížíš své stránky
- změň heslo na FTP
- najdi si nějaké udělátko na odstranění toho exploitu
- zkontroluj lokální prezentaci, zda je čistá
- nahrej soubory znovu přes FTP. Heslo neukládej
- zkontroluj prezentaci
Teď mě napadá, že ten exploit vůbec nemusí být v PC. Stačí browsovat po nějakých nakažených stránkách, JavaScriptem si otevřít soubor s hesly Total Commanderu a pomocí přihlašovacích údajů měnit všechny dostupné webové prezentace.
Ovšem nějak mi to nesedí s Mozillou. Slyšel jsem, že tohle dělá MS Explorer. Nemáš ho náhodou taky spuštěný, třeba na jiné stránce?
Ovšem nějak mi to nesedí s Mozillou. Slyšel jsem, že tohle dělá MS Explorer. Nemáš ho náhodou taky spuštěný, třeba na jiné stránce?
No změnil jsem si hesla, změnil jsem ftp klienta (místo TCmd mám teď FileZilla-doufám že to není ještě horší :-) ), hesla neukládám, nahrál jsem znova čisté soubory a budu čekat, co to udělá. IE nepoužívám, nemám ho spuštěný. Kadopádně díky za rady, budu informovat, co jsem vysledoval.
Ještě vymaž cache prohlížeče.
Zdá se, že ten exploit zná soubor c:\windows\wcx_ftp.ini , ve kterém jsou hesla Total Commanderu kódována velmi primitivním způsobem.
<HTML>Proto tenhle soubor dávám do složky Total Commanderu. V C:\Windows nemá co pohledávat.</HTML>
Hlavně když ho tam TC najde a nesnaží se ho přesunout zpět.
Udelal jsem to co popisuju v minulem svem prispevku a je pokoj (doufam definitivne :-) ). Diky moc za odezvy!
Nové příspěvky
Žádosti o obnovení odstavených domén
Přenos domény
Obnova webu
pomalá odezva webu
Obnovení webu
Tarif zdarma definitivně nepoužitelný kvůli HTTP/HTTPS - druhá část
Dotaz na bod podmínek "využívat poskytnutý prostor jako uložiště pro soubory, zejména pokud k nim nevede odkaz ze stránek a odkazovat se na ně z jiného serveru;
Překročení datového limitu
prosím můj účet přesunout na nejnovější server kvůli automatická instalaci Wordpressu
Nechodí mi email na obnovu hesla
nový web a hostíng
zrušení přesměrování
HTTP
obrazy.unas.cz
DNSSEC u přesunuté domény
Načítací kolečko při nové objednávce domény
Nefunguje domena s WWW
502 bad gateway
Přechod ze zadarmové domény na placenou
Onbova webu
načítací kolečko při objednávce webu
Reklami
Email
Upgrade Wordpress
Obnova webu
Další témata
STATUS
FTP
HTTP
SQL
PHP
© 2002 - 2024 Web zdarma s.r.o. — zvládnete to sami