Skocz do zawartości
damianoos

Wirus na serwerzetypu iframe

Polecane posty

Witam,

 

Od dłuższego czasu walczę z wirusem typu iframe na moim serwerze. Jak do tej pory każdy jako receptę na walkę z tym wirusem piszę, aby podmienić plik, zmienić hasło do FTP i nie zapisywać haseł w żadnym programie. W moim przypadku ta recepta niestety nie działa, bo... złośliwy iframe dopisywany jest przez sam proces apache.

 

Szukając po internecie nie napotkałem się na żadne rozwiązanie mojego problemu, dlatego proszę Was o pomoc. Może ktoś miał taki przypadek, albo wie jak się pozbyć tego wirusa. Strona podmieniana jest średnio co 2 dni. Iframe dopisywany jest na końcu, ale też nie zawsze. Kompletnie nie wiem gdzie szukać tego wirusa na serwerze. Niby mam zainstalowany antywirus DrWeb (zintegrowany z Pleskiem), ale on bardziej mi wygląda na program antyspamowy, aniżeli do wykrywania wirusów.

 

Bardzo proszę o pomoc, w czasach gdy wirus jest dopisany, ruch na stronie spada o jakieś 20% (przypuszczam że wirus atakuje głównie stare wersje IE, bo ja przeglądając swój serwis FF, IE8 czy Operą, nie odczuwam działania żadnego wirusa, a program antywirusowy mam wgrany).

 

Jeśli będą potrzebne jakieś dodatkowe dane typu logi lub coś, proszę dać znać. Swoją drogą w logach niczego niepokojącego nie znalazłem, ale może nie dokładnie sprawdzałem...

 

Z góry dziękuje za rady i pomoc.

Pozdrawiam,

damianoos

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej!

podstawowe pytanie: na jakim skrypcie ( ew z jakimi dodatkami) masz oparty swój serwis ? możliwe że sam skrypt jest dziurawy i umożliwia podmianę pewnych plików.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skrypt jest mój, autorski. Większość serwisów mam na nim opartych, a ten wirus uczepił się tylko jednej domeny. Sam skrypt ma bardzo wąskie pole do zainfekowania, bo nie ma żadnego uploadu plików itp. Jest praktycznie samo przeglądanie treści. Programuje już kilka lat, więc jakieś typowo amatorskiej dziury nie zostawiłem :) Wcześniej wirus infekował się poprzez FTP, ale po formacie mojego komputera, zmianie haseł oraz zainstalowaniu dobrego antywirusa problem infekcji poprzez FTP zniknął. Wcześniej poprzez FTP było infekowane kilkanaście serwisów na moim serwerze, teraz infekuje się tylko ten jeden i infekcja nie pochodzi z FTP (logi oraz zmiana hasła które nigdy nie zostało użyte w żadnym zewnętrznym programie).

 

Co najciekawsze, ostatnio plik index otrzymał prawa roota i tylko do odczytu. Po zainfekowaniu użytkownik znów zmienił się na apache, więc problem leży jednak w systemie. Przeszukałem też wszystkie katalogi i pliki na danym koncie FTP z serwisem i nie znalazłem nic niepokojącego. Przypuszczam, że wirus będzie siedział gdzieś głębiej, tylko pytanie gdzie...

 

Najgorsze, że szukając nawet po zagranicznych forach nigdzie nie spotkałem podobnego przypadku, co mnie niezmiernie dziwi...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam dokładnie ten sam problem i też nie mogę sobie z nim poradzić :-/... Powoli zaczynam się zastanawiać czy nie kupić innego serwera i wszystkiego nie przenieść, bo mam tego wirusa naprawdę dosyć.. ale to będzie ostateczność. Czy ktoś ma jakieś rady, sposoby rozwiązania tego problemu? Z góry dziękuję, będę bardzo wdzięczny.

 

Pozdrawiam,

Simon

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam dokładnie ten sam problem i też nie mogę sobie z nim poradzić :-/... Powoli zaczynam się zastanawiać czy nie kupić innego serwera i wszystkiego nie przenieść, bo mam tego wirusa naprawdę dosyć.. ale to będzie ostateczność. Czy ktoś ma jakieś rady, sposoby rozwiązania tego problemu? Z góry dziękuję, będę bardzo wdzięczny.

 

Pozdrawiam,

Simon

 

Po co nowy serwer? Przecież wystarczy reinstalacja :(

Przeinstaluj, zabezpiecz, zoptymalizuj, zrób php po fcgi lub suphp i wrzuć ponownie serwisy.

 

A jeszcze przed tym możesz się zainteresować http://www.rootkit.nl/projects/rootkit_hunter.html

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Bartosz Gadzimski

Może adres domeny pomoże i ktoś rozpozna kod iframe ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli kod doklejany jest przez proces apache'a, to rzeczywiście, któryś ze skryptów CGI lub PHP musi być dziurawy. Dokładna analiza logów serwera www powinna nakierować, gdzie jest problem. Można też doinstalować mod_security do Apache'a - może nie ochroni przed wszystkim, ale przed najpopularniejszymi dziurami raczej tak i zaloguje podejrzane zapytania.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam, po przeniesieniu mojego serwisu z Vipower PL na Vipower FR mam ten sam problem.

 

Adres strony to: http://forum.d2traders.pl.

Konto to zwykły hosting, wina leży w moich plikach czy po stronie właściciela serwera?

 

Od razu po przenosinach gracze założyli temat z dyskusją o iframie, więc myślę, że jest to raczej wina serwera, ale nie jestem pewien.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

to nie wina serwera,

wyczyść te śmieci, zmień hasło do ftp i nie zapisują go w kliencie ftp na komputerze który łączy się z serwerem.

no i sprawdź komputer, to on ma wirusa który "kradnie" hasła

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

to nie wina serwera,

wyczyść te śmieci, zmień hasło do ftp i nie zapisują go w kliencie ftp na komputerze który łączy się z serwerem.

no i sprawdź komputer, to on ma wirusa który "kradnie" hasła

 

Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało.

 

może przypadek, a może ktoś poza Tobą się logował na ftp, albo logowałeś się z innego komputera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało.

Ha, napisz do administracji serwera, podadzą Ci nawet IP z którego został zmieniony plik :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ha, napisz do administracji serwera, podadzą Ci nawet IP z którego został zmieniony plik :D

 

na moim serwerze zauwazylem bardzo wiele logowan do ftp z roznych IP.

 

Ed

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skanuje teraz pliczki pod względem zawarcia słów kluczowych : "www.crazydsadkfg.com"

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@up - jeżeli chodzi o ten site co mówisz, to szukaj w plikach js tego - tylko nie jest to w postaci jawnej tylko za pomocą unescape() wywoływane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ja też jestem w VipowerFR i mam ten sam problem, dokładnie z tym samym wirusem o tej samej nazwie!

 

ja mam na serwerze kilka blogów na wordpressie, forum na VB i na mybb; problem jest tylko na jednym blogu na wordpressie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ja też jestem w VipowerFR i mam ten sam problem, dokładnie z tym samym wirusem o tej samej nazwie!

 

ja mam na serwerze kilka blogów na wordpressie, forum na VB i na mybb; problem jest tylko na jednym blogu na wordpressie

 

Dziwna sprawa wirus pojawił się po przejściu do VipowerFR, a u Ciebie ten sam problem.

Jednego wirusa już Vipower pomogło mi usunąć (3pliki w joomli), dziwna rzecz..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

faktycznie dziwne, ja i panowie z Vipower szukaliśmy u mnie też złośliwego kodu, ale nigdzie go nie było widać

 

jednak już chyba udało się u mnie naprawić, nadpisałem pliki wordpressa i wgrałem jeszcze raz templatkę pod kontrolą Mateusza i mam wrażenie, że już nie ma tego paskustwa

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×