Visusos lett az oldalam...... Segitsetek..

**keri** · 2009-12-21, 20:02

Eloszor is bocsi ha nem jo helyre nyitottam a temat de nem kaptam meg hogy hova is illene...
Ma belepek az oldalamra (hxxp://szekelyderzs.com) es nezem hogy a Kaspersky villog hogy valami virust, vagyis trojait talalt, pontosabbaz ezeket:

Kód:

2009.12.21. 20:58:58	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Denied: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:58:58	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Detected: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:58:56	http://szekelyderzs.com/index.html	Firefox	Processing error: Trojan.JS.Agent.axl		
2009.12.21. 20:58:56	http://szekelyderzs.com/index.html//index	Firefox	Denied: Trojan.JS.Agent.axl		
2009.12.21. 20:58:56	http://szekelyderzs.com/index.html//index	Firefox	Detected: Trojan.JS.Agent.axl		
2009.12.21. 20:55:35	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Denied: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:55:35	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Detected: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:55:32	http://szekelyderzs.com/vendegkonyv/index.php	Firefox	Processing error: Trojan.JS.Agent.axl		
2009.12.21. 20:55:32	http://szekelyderzs.com/vendegkonyv/index.php//index	Firefox	Denied: Trojan.JS.Agent.axl		
2009.12.21. 20:55:32	http://szekelyderzs.com/vendegkonyv/index.php//index	Firefox	Detected: Trojan.JS.Agent.axl		
2009.12.21. 20:55:09	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Denied: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:55:09	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Detected: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:54:54	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Denied: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:54:54	http://xici-net.mainichi.jp.persianblog-ir.videosaleonline.ru:8080/google.com/google.com/discuss.com.hk/novoteka.ru/nifty.com/	Firefox	Detected: Trojan-Clicker.JS.Iframe.db		
2009.12.21. 20:54:43	http://szekelyderzs.com/	Firefox	Processing error: Trojan.JS.Agent.axl		
2009.12.21. 20:54:43	http://szekelyderzs.com///szekelyderzs	Firefox	Denied: Trojan.JS.Agent.axl		
2009.12.21. 20:54:43	http://szekelyderzs.com///szekelyderzs	Firefox	Detected: Trojan.JS.Agent.axl

Ma nem nyultank semmihez a taron, nem tudom hogyan kerultek ezek oda, ....

Mi a teendo ilyenkor mit csinaljak.... ??? Toroljek mindent a tarrol es toltsem fel ujra?? Ez megoldja a probelmam??

Segitsetek, kerlek....

Hasonló témák:

**rendszergazda** · 2009-12-21, 20:29

keri eredeti hozzászólása

Eloszor is bocsi ha nem jo helyre nyitottam a temat de nem kaptam meg hogy hova is illene...
Ma belepek az oldalamra (hxxp://szekelyderzs.com) es nezem hogy a Kaspersky villog hogy valami virust, vagyis trojait talalt, pontosabbaz ezeket:
[...]
Ma nem nyultank semmihez a taron, nem tudom hogyan kerultek ezek oda, ....
Mi a teendo ilyenkor mit csinaljak.... ??? Toroljek mindent a tarrol es toltsem fel ujra?? Ez megoldja a probelmam??
Segitsetek, kerlek....

Igen, de fontos, hogy változtasd meg a tárhelyed jelszavát, mert szinte biztos hogy ez kikerült. Előtte nézd át azokat a gépeket vírus ill. trójai programok tekintetében, ahonnan beléptek a tárhelyre, lehet hogy egyik ilyen gép egy botnet tagja lett. És végül NE mentsd el a tárhelyed jelszavát abba az FTP programba, amit használsz, régebben a Total Commander-ből szedték ki a jelszavakat az erre (is) szakosodott kis kém progik, mostanra már szinte az összes népszerű FTP program konfigurációs állományából ki tudják szedni a tárhely jelszavakat sajnos. Ha a táhely szolgáltatód ad rá lehetőséget, használj at FTP helyett valami biztonságos, titkosított átvitelt használó megoldást, pl. SFTP-t.

Ezek általában úgy kerülnek a kódba, hogy egy kémprogram kigyűjti a jelszavakat a gépeden, és elküldi egy botneten át a "mesternek", majd ezekkel az ellopott jelszavakkal automata kis progik belépnek a tárhelyekre, letöltik az index oldalt, beszúrják a rosszindulatú kódot, majd feltöltik vissza a tárhelye. Ha csak visszatennéd a nem fertőzött oldalt, az órákon/napokon belül újra fertőzött lenne valószínűleg, ezért fontos, hogy változtass meg minden jelszót!

**keri** · 2009-12-21, 20:50

Na akkor eloszor torlok mindent, aztan... jelszocsere... aztan ujra feltoltes.... milyen programmal elonorizzem hogy a gepemen van trojai , mert a kespersky nem jelez semmit..?

**rendszergazda** · 2009-12-22, 07:20

keri eredeti hozzászólása

Na akkor eloszor torlok mindent, aztan... jelszocsere... aztan ujra feltoltes.... milyen programmal elonorizzem hogy a gepemen van trojai , mert a kespersky nem jelez semmit..?

A Kaspersky úgy tudom elég jó vírusirtó, sűrűn frissülő és sok fenyegetést ismerő adatbázissal. Csak a te gépedről léptél be FTP-vel a tárhelyre? Nem tudta más is a jelszót (pl. webfejlesztő, grafikus)?

A legtöbbször ilyen oldal megfertőzések háterében a gépen általában valamilyen ftp kliens programban letárolt jelszavak megszerzése és felhasználása áll, de lehet hogy az oldalon van egy sebezhető php vagy egyéb dinamikus (asp, cgi, pl, stb.) kód, amelynek a hibáját kihasználva tudnak esetleg a támadók fájlokat manipulálni a tárhelyen.

Ez az lopott jelszóval történő FTP belépés elég gyakori sajnos, több tárhelyszolgáltató megpróbál már lépéseket tenni ezek visszaszorítása érdekében, pl. korlátozza az FTP hozzáférést megadott IP címekre ill. címtartományokra, esetleg az alapértelmezettől eltérő port-on érhető el az ftp szerver, vagy belépés előtt egy webes felületen ideiglenesen engedélyezni kell az IP címedet, amiről utána egy ideig beléphetsz FTP-vel.

Érdemes lenne megkérni a szolgáltatódat, hogy küldje el neked a szerver logjaiból, hogy az elmúlt hónapban a te loginoddal mikor és honnan csatlakoztak a szerverre FTP-n keresztül, ill. milyen állományokat töltöttek ekkor le ill. fel; ebből bizton kiderül, hogy valóban FTP-n keresztül történt-e az oldalad módosítása (ill. az is, hogy milyen IP címről, és mikor történt a módosítás). Ha itt nincs nyoma a változtatásnak, akkor sajnos más módon sikerült a támadónak módosítani az oldaladat, ez már egy nagyobb munka kideríteni, hogy mi módon, hogy tudtak hozzáférni a tárhelyhez.

Első lépésként a jelszavak megváltoztatása, és a gépre nem elmentése után - ha az antivirus program szerint tiszta a géped - töltsd vissza az oldalad eredeti állapotát, majd kérd el a szolgáltatódtól az ftp logot, abból majd lehet okosságokat megtudni.

**keri** · 2009-12-28, 10:39

Sikerult orvosolni a problemat.... jelszo csere... ftp kliens csere.... jelszo nem elmentese... ujra feltoltes .... Remelem minden ok lesz

Koszonom a segitseget...
Apropo , mostanaban eleg sok oldalon talkoztam ezzel a trojaivel... valami nagy akcio lehetett.... de azt nem ertem.. ez hogy mukodik... ha pl virusos az oldalam es en rakattinatok akkor letoltodik valami a gepemre (persze ha nincs virusolom)???

**sYska** · 2009-12-28, 11:15

keri eredeti hozzászólása

.... ha pl virusos az oldalam es en rakattinatok akkor letoltodik valami a gepemre (persze ha nincs virusolom)???

Pontosan úgy. Reklámprogramot vagy jelszólopót, stb. bármit letölthet és telepíthet.

**keri** · 2009-12-28, 11:19

es nekik ez miert eri meg?? vizet valaki ezert?? letezik olyan aki igy rklamoztassa magat?? (talan a p o r n o oldalak)

**gzoli** · 2009-12-28, 11:22

Ez egy teljesen automata bot hálózat. A Total Commander-ben tárolt jelszavat lopja el, az oldalról letöltődő trójai, és azt továbbítja a bothálózatnak. A bothálózat tagjai, pedig az ellopott hozzáférésekkel rekurzívan végig mennek az index*.* fájlokon, és beleírnak. Hogy mit írnak bele, az változó, több "generációja" van ennek a terjesztésnek:
1.: normál html iframe body mögé
2.: normál olvasható javascript body közelébe
3.: "nem olvasható" javascript body közelébe
4.: "nem olvasható" javascript fájl végére

Első 3 tavasszal volt jellemző, nyáron kicsit lecsengett a történet, de most újra elkezdett terjedni, és a 4-es változat terjed. Itt annyiban van szerencséjük a CMS rendszert használóknak, hogy az alap index.php -be ha beleírja magát <? ?> közé, akkor nem fog megjelenni semmi, és nem fog az oldal fertőződni, a Google nem rakja a fertőzött oldalak közé, stb.

És persze ez egy örök ciklus, a fertőzött oldalak látogatóitól is megpróbálnak hozzáféréseket lopni, és ha sikerült, akkor azon a tárhelyen is irkálnak ha tudnak, és azok az oldalak is tovább fertőznek.

Mindegyik esetben .cn, .in, .ru hostokra mutat az iframe letöltő script, így ha lehetséges akkor ezekre a hostokra egy erősebb szűrést kell bekapcsolni, esetleges manuális engedélyezést valahol a böngészőben vagy tűzfalban/vírusírtóban.