Mateusz Mazurek – programista z pasją

Python, architektura, ciekawostki ze świata IT

Inne

Plaga niechcianych iframe?

Cześć! Cieszę się, że mnie odwiedziłeś/aś. Zanim przejdziesz do artykułu chciałbym zwrocić Ci uwagę na to, że ten artykuł był pisany kilka lat temu (2009-06-20) miej więc proszę na uwadzę że rozwiązania i przemyślenia które tu znajdziesz nie muszą być aktualne. Niemniej jednak zachęcam do przeczytania.

Od jakiegoś czasu borykam się z problemem niechcianych iframe.. Co jakiś, bliżej nie określony, czas wirusy doklejają mi do kodu stron, wszystkich na serwerze, kod hidden iframe – jednym słowem całkiem sprytna akcja polegająca na zaaplikowaniu stronkom wirusa – co owy wirus robi? Kurcze, tu trudno powiedzieć, ściąga pewnie jakieś oprogramowanie..
Zaraz po napisaniu tego tekstu zabieram się do skanowania komputera jakimś antytrojanem – Nod32 nic, prócz alertów przy otwieraniu zainfekowanej stronki, nie pokazał, a przecież jakoś ten kod musiał się jakoś tam dokleić, nie? Duże prawdopodobieństwo jest, że trojan siedzi u mnie na kompie, wykrada mi dane do FTP, i się łączy.. Heh ;)
Jak sprawdzić czy strona naprawdę jest zainfekowana?

Strona przeskanuje Wam podaną witrynę, i „powie” czy jest czysta.



Jeśli jest – no to współczuje, troszkę roboty przed Tobą ;) Po pierwsze sprawdź resztę stron z tego hostingu, i oceń ogrom pracy, jaką włożysz w ręczne kasowanie.. Oczywiście możesz ją skrócić :) Podaje skrypt jaki znalazłem w Internecie, który przeszukuje foldery i szuka iframe o podanym wzorcu, a co przydatne, stara się go usunąć, więc wystarczy zobaczyć np w index.php (tam będzie na 99%) jakie wymiary dał autor i wpisać je do skyptu.. Odpalić, poczekać chwilę, i zaraz zobaczymy co udało mu się naprawic..

http://wklej.org/id/109206/

Po co są rozsyłane takie wirusy? Ano, przeczytajćie ten artykuł:
KLIK

Dzięki za wizytę,
Mateusz Mazurek

A może wolisz nowości na mail?

Subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

7 komentarzy
Inline Feedbacks
View all comments
Rodi

Hmmm… Najpierw wykradane sa dane z klienta FTP (total comander etc. – proponuję zainwestowac w SmartFTP), następnie dodawane sa jak sam juz napisales te iframe ukryte, ktore wczytuja strony – uznane przez google za zainfekowane. Jak tego sie pozbyc? 1. Zmiana klienta FTP na lepszy (np. na SmartFTP) 2. Przeskanowanie wirusa ESETem/Nodem. 3. Zmiana hasla do FTP – ale na trudniejsze, a nie takie typu: 12345 – bo to bezsens, powinno byc porozrzucane po klawiaturze) 4. Usuniecie recznie tych iframe – nie jest to uciazliwe. Ja np. nigdy nie mialem takiej sytuacji, ale inni znajomi niestety juz tak (a szefu… Czytaj więcej »

Paweł

Mam podobny problem, POMOCY!!!! Szukam osoby ktora sie zna na extreme fushion – PHP.

Prosze o pomoc. Mam jakis wirus ifreme czy cos nie mam pojecia jak go wywalic prosze o pomoc. Jestem słaby z tego wiec bede wdzieczny jesli ktos sie zglosi zeby mi pomoc.

gg 4993847

VIS

A mnie uratowal home.pl bo szybko zauwazylem i poprosilem o przywrocenie kopii zapasowej :) Nie zapisujcie hasel w programie ftp ani przegladarce!

kajak1

Witam
Mam podobny problem, strona jest zablokowana przez google a ja nie wiem jak sie pozbyc tych wirusów iframe.Pomocy !!!

rox

A więc zmień domyślne ustawienia plików z 755 na 711. Podobno to pomaga