damianoos 0 Zgłoś post Napisano Grudzień 5, 2009 Witam, Od dłuższego czasu walczę z wirusem typu iframe na moim serwerze. Jak do tej pory każdy jako receptę na walkę z tym wirusem piszę, aby podmienić plik, zmienić hasło do FTP i nie zapisywać haseł w żadnym programie. W moim przypadku ta recepta niestety nie działa, bo... złośliwy iframe dopisywany jest przez sam proces apache. Szukając po internecie nie napotkałem się na żadne rozwiązanie mojego problemu, dlatego proszę Was o pomoc. Może ktoś miał taki przypadek, albo wie jak się pozbyć tego wirusa. Strona podmieniana jest średnio co 2 dni. Iframe dopisywany jest na końcu, ale też nie zawsze. Kompletnie nie wiem gdzie szukać tego wirusa na serwerze. Niby mam zainstalowany antywirus DrWeb (zintegrowany z Pleskiem), ale on bardziej mi wygląda na program antyspamowy, aniżeli do wykrywania wirusów. Bardzo proszę o pomoc, w czasach gdy wirus jest dopisany, ruch na stronie spada o jakieś 20% (przypuszczam że wirus atakuje głównie stare wersje IE, bo ja przeglądając swój serwis FF, IE8 czy Operą, nie odczuwam działania żadnego wirusa, a program antywirusowy mam wgrany). Jeśli będą potrzebne jakieś dodatkowe dane typu logi lub coś, proszę dać znać. Swoją drogą w logach niczego niepokojącego nie znalazłem, ale może nie dokładnie sprawdzałem... Z góry dziękuje za rady i pomoc. Pozdrawiam, damianoos Udostępnij ten post Link to postu Udostępnij na innych stronach
crazyluki 114 Zgłoś post Napisano Grudzień 5, 2009 Hej! podstawowe pytanie: na jakim skrypcie ( ew z jakimi dodatkami) masz oparty swój serwis ? możliwe że sam skrypt jest dziurawy i umożliwia podmianę pewnych plików. Pozdrawiam Udostępnij ten post Link to postu Udostępnij na innych stronach
damianoos 0 Zgłoś post Napisano Grudzień 5, 2009 Skrypt jest mój, autorski. Większość serwisów mam na nim opartych, a ten wirus uczepił się tylko jednej domeny. Sam skrypt ma bardzo wąskie pole do zainfekowania, bo nie ma żadnego uploadu plików itp. Jest praktycznie samo przeglądanie treści. Programuje już kilka lat, więc jakieś typowo amatorskiej dziury nie zostawiłem Wcześniej wirus infekował się poprzez FTP, ale po formacie mojego komputera, zmianie haseł oraz zainstalowaniu dobrego antywirusa problem infekcji poprzez FTP zniknął. Wcześniej poprzez FTP było infekowane kilkanaście serwisów na moim serwerze, teraz infekuje się tylko ten jeden i infekcja nie pochodzi z FTP (logi oraz zmiana hasła które nigdy nie zostało użyte w żadnym zewnętrznym programie). Co najciekawsze, ostatnio plik index otrzymał prawa roota i tylko do odczytu. Po zainfekowaniu użytkownik znów zmienił się na apache, więc problem leży jednak w systemie. Przeszukałem też wszystkie katalogi i pliki na danym koncie FTP z serwisem i nie znalazłem nic niepokojącego. Przypuszczam, że wirus będzie siedział gdzieś głębiej, tylko pytanie gdzie... Najgorsze, że szukając nawet po zagranicznych forach nigdzie nie spotkałem podobnego przypadku, co mnie niezmiernie dziwi... Udostępnij ten post Link to postu Udostępnij na innych stronach
ark. 0 Zgłoś post Napisano Grudzień 5, 2009 Zrób php na fcgi. Udostępnij ten post Link to postu Udostępnij na innych stronach
Simoon 0 Zgłoś post Napisano Grudzień 7, 2009 Mam dokładnie ten sam problem i też nie mogę sobie z nim poradzić :-/... Powoli zaczynam się zastanawiać czy nie kupić innego serwera i wszystkiego nie przenieść, bo mam tego wirusa naprawdę dosyć.. ale to będzie ostateczność. Czy ktoś ma jakieś rady, sposoby rozwiązania tego problemu? Z góry dziękuję, będę bardzo wdzięczny. Pozdrawiam, Simon Udostępnij ten post Link to postu Udostępnij na innych stronach
is_wm 287 Zgłoś post Napisano Grudzień 7, 2009 Mam dokładnie ten sam problem i też nie mogę sobie z nim poradzić :-/... Powoli zaczynam się zastanawiać czy nie kupić innego serwera i wszystkiego nie przenieść, bo mam tego wirusa naprawdę dosyć.. ale to będzie ostateczność. Czy ktoś ma jakieś rady, sposoby rozwiązania tego problemu? Z góry dziękuję, będę bardzo wdzięczny. Pozdrawiam, Simon Po co nowy serwer? Przecież wystarczy reinstalacja Przeinstaluj, zabezpiecz, zoptymalizuj, zrób php po fcgi lub suphp i wrzuć ponownie serwisy. A jeszcze przed tym możesz się zainteresować http://www.rootkit.nl/projects/rootkit_hunter.html Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Bartosz Gadzimski Zgłoś post Napisano Grudzień 7, 2009 Może adres domeny pomoże i ktoś rozpozna kod iframe ? Udostępnij ten post Link to postu Udostępnij na innych stronach
huan 18 Zgłoś post Napisano Grudzień 8, 2009 Jeśli kod doklejany jest przez proces apache'a, to rzeczywiście, któryś ze skryptów CGI lub PHP musi być dziurawy. Dokładna analiza logów serwera www powinna nakierować, gdzie jest problem. Można też doinstalować mod_security do Apache'a - może nie ochroni przed wszystkim, ale przed najpopularniejszymi dziurami raczej tak i zaloguje podejrzane zapytania. Udostępnij ten post Link to postu Udostępnij na innych stronach
GyniO 10 Zgłoś post Napisano Maj 3, 2010 Witam, po przeniesieniu mojego serwisu z Vipower PL na Vipower FR mam ten sam problem. Adres strony to: http://forum.d2traders.pl. Konto to zwykły hosting, wina leży w moich plikach czy po stronie właściciela serwera? Od razu po przenosinach gracze założyli temat z dyskusją o iframie, więc myślę, że jest to raczej wina serwera, ale nie jestem pewien. Udostępnij ten post Link to postu Udostępnij na innych stronach
Edart 239 Zgłoś post Napisano Maj 3, 2010 to nie wina serwera, wyczyść te śmieci, zmień hasło do ftp i nie zapisują go w kliencie ftp na komputerze który łączy się z serwerem. no i sprawdź komputer, to on ma wirusa który "kradnie" hasła Udostępnij ten post Link to postu Udostępnij na innych stronach
GyniO 10 Zgłoś post Napisano Maj 3, 2010 to nie wina serwera, wyczyść te śmieci, zmień hasło do ftp i nie zapisują go w kliencie ftp na komputerze który łączy się z serwerem. no i sprawdź komputer, to on ma wirusa który "kradnie" hasła Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało. Udostępnij ten post Link to postu Udostępnij na innych stronach
Edart 239 Zgłoś post Napisano Maj 3, 2010 Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało. może przypadek, a może ktoś poza Tobą się logował na ftp, albo logowałeś się z innego komputera. Udostępnij ten post Link to postu Udostępnij na innych stronach
Hekko.pl 239 Zgłoś post Napisano Maj 3, 2010 Mam sporo kont ftp różnych hostingów. I problem jest tylko na jednym. Dziwnie się złożyło, że akurat po zmianie się to skopało. Ha, napisz do administracji serwera, podadzą Ci nawet IP z którego został zmieniony plik Udostępnij ten post Link to postu Udostępnij na innych stronach
Shk 51 Zgłoś post Napisano Maj 3, 2010 blueman.pl - poszukaj na tym blogu coś o podobnym wirusie... Udostępnij ten post Link to postu Udostępnij na innych stronach
ednet 136 Zgłoś post Napisano Maj 4, 2010 Ha, napisz do administracji serwera, podadzą Ci nawet IP z którego został zmieniony plik na moim serwerze zauwazylem bardzo wiele logowan do ftp z roznych IP. Ed Udostępnij ten post Link to postu Udostępnij na innych stronach
GyniO 10 Zgłoś post Napisano Maj 4, 2010 Skanuje teraz pliczki pod względem zawarcia słów kluczowych : "www.crazydsadkfg.com" Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Maj 4, 2010 @up - jeżeli chodzi o ten site co mówisz, to szukaj w plikach js tego - tylko nie jest to w postaci jawnej tylko za pomocą unescape() wywoływane. Udostępnij ten post Link to postu Udostępnij na innych stronach
bartek1234 0 Zgłoś post Napisano Maj 6, 2010 ja też jestem w VipowerFR i mam ten sam problem, dokładnie z tym samym wirusem o tej samej nazwie! ja mam na serwerze kilka blogów na wordpressie, forum na VB i na mybb; problem jest tylko na jednym blogu na wordpressie Udostępnij ten post Link to postu Udostępnij na innych stronach
GyniO 10 Zgłoś post Napisano Maj 7, 2010 ja też jestem w VipowerFR i mam ten sam problem, dokładnie z tym samym wirusem o tej samej nazwie! ja mam na serwerze kilka blogów na wordpressie, forum na VB i na mybb; problem jest tylko na jednym blogu na wordpressie Dziwna sprawa wirus pojawił się po przejściu do VipowerFR, a u Ciebie ten sam problem. Jednego wirusa już Vipower pomogło mi usunąć (3pliki w joomli), dziwna rzecz.. Udostępnij ten post Link to postu Udostępnij na innych stronach
bartek1234 0 Zgłoś post Napisano Maj 7, 2010 faktycznie dziwne, ja i panowie z Vipower szukaliśmy u mnie też złośliwego kodu, ale nigdzie go nie było widać jednak już chyba udało się u mnie naprawić, nadpisałem pliki wordpressa i wgrałem jeszcze raz templatkę pod kontrolą Mateusza i mam wrażenie, że już nie ma tego paskustwa Udostępnij ten post Link to postu Udostępnij na innych stronach
xorg 693 Zgłoś post Napisano Maj 7, 2010 Już powinno być ogarnięte. Udostępnij ten post Link to postu Udostępnij na innych stronach