Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (14) összesen

Téma: Webtárhelyen vírus?

  1. #1
    Képszerkesztő Csurga logója
    Csatlakozott
    10-10-17
    Hely
    Hmvhely
    Hozzászólás
    1.101
    Begyűjtött 317 köszönetet
    206 hozzászólásával

    Alapbeállítás Webtárhelyen vírus?

    Sziasztok, jobb hely híján ide írom a kérdésem.

    Van egy lapom, mely aldomainre lett telepítve, külön WP alapú CMS rendszert használ, a fődomainhoz képest.

    galeria.kepszerkesztes.com a cím.

    Mostanában vettem észre, hogy az AVAST (6.0 64bit free) csak az aldomain-en mindíg valami vírus riasztást ad, és kiírja, hogy blokkolva a kártékony kód az URL-en. Chrome-ot használok már egy ideje, Firefoxnál ilyen gond nem volt, tehát nem tudom hova tenni a dolgot. A webtárhely pedig szokott alkalmazni vírus szűrést, de lehet, hogy átjutott valami mégis?

    Másnál nem fordult elő hasonló dolog? Természetesen az AVAST utána elirányít egy oldalra, hol a szoftverét megvehetem azonnal... tehát elég marketing szagú a dolog.

    Vagy az is lehet, hogy a Chrome kapott be valamit? Érdekesség, hogy szinte mindig más vírus riasztást dob ki, tehát soha nem ugyanazt. A Chrome is kiírt már egyszer egy figyelmeztetést, hogy az oldalam egy bizonyos ad.ad... (nem emlékszem pontosan) akármilyen oldalra hivatkozik, és ezért megbízhatatlan, szerencsére a google szerint eddig semmi kár nem volt a SEO-t illetően.

    Mi lehet a teendő ilyen esetben?

    UPDATE: legutolsó riasztásnál ezt írta ki: hxxp://b0.assetcollect.com/in.cgi?2
    a chrome.exe-t támadta a webhely, amire elvileg az enyém hivatkozik (tudtommal nincs ilyen hivatkozás, se spam, se semmi)



    Utoljára módosítva: Csurga által : 2011-09-11 15:08
    "Galaktikus logók, arculat, weboldalak a KKV-számára!"
    stargeckos.com

  2. #2
    Bölcs magic logója
    Csatlakozott
    09-06-01
    Hozzászólás
    1.541
    Begyűjtött 27 köszönetet
    17 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    Nálam FF alatt is jelez az avast, ugyanazzal a szöveggel, mint nálad...



  3. #3
    Seo-Titán hunprobalazs logója
    Csatlakozott
    10-05-30
    Hely
    Sin City
    Hozzászólás
    2.152
    Begyűjtött 378 köszönetet
    266 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    A webtárhelyen nincs valami különös állomány, ami kiválthatja ezt az egészet (hátha valaki hozzáfért és felmásolta)?
    Üdv.: B@l@'zs


    Linkmarketing kampányt vállalok már kriptovalutáért is! :-)

  4. #4
    Képszerkesztő Csurga logója
    Csatlakozott
    10-10-17
    Hely
    Hmvhely
    Hozzászólás
    1.101
    Begyűjtött 317 köszönetet
    206 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    Van olyan mappa minek az elérése 777 a szerveren, tehát elvileg bárki másolhat fel bármit, de nem gondolom, hogy lenne ilyen, minden esetre érdekes, hogy ennél az egy aldomainnél van ilyen problémám, pedig nem csak egy lapom van a szolgáltatónál. Sima wp egyébként, semmi csellel, tehát nem tudom, mi okozhatja a problémát. Szólok a tárhely-szolgáltatónak, hátha találnak valamit, nekem nincs több ötletem.



  5. #5
    Bölcs
    Csatlakozott
    09-08-20
    Hozzászólás
    524
    Begyűjtött 47 köszönetet
    39 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    Ez 99%-ban ftp hozzáférés ellopásából származik, ami el volt mentve jelszóval együtt TC-ben vagy FZ-ben. Több fajta van:
    1. htaccess átirányításokat csinál, meg kell vizsgálni a htaccess-t
    2. index*.* fájlokba ír bele js kódot, vagy a body-hoz vagy a forrás végére
    3. index*.* fájlokba ír bele iframe -et.

    Előfordulhat, hogy WP-n keresztül másoltak fel valamit, van pár hibás pluginje. Ezt az access.log -ra POST-ra szűrve tudod listázni, illetve hasznos lehet még az error.log átnézése.



  6. #6
    Bölcs
    Csatlakozott
    09-12-19
    Hely
    Budapest
    Hozzászólás
    696
    Begyűjtött 100 köszönetet
    63 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    Szia,

    Nekem Firefox & NOD32 nem jelzett semmit az oldalon, tehát nem tudom megerősíteni a vírus támadásod, ez persze nem jelenti azt, hogy nincs pláne, ha a többiek tapasztalják.

    A google webmasters tools segítségével egyébként tudsz kérni ellenőrzést és meg tudod nézni, hogy milyen kártevőt talált az oldalon, ugyanakkor lehet, hogy a problémát nem is a Te oldalad tartalma, hanem valamelyik külső hivatkozás során betöltődő része okozza, ami vagy előjön vagy nem.

    GZoli már említette, sajnos egyes vírusok az FTP jelszavak megszerzésével vírust telepítenek az oldalra, ha lehetőséged van, akkor kérj egy FTP transfer logot, ami alapján ez a tény elég hamar kiderül. Másik gyors megoldás az lehet, ha megnézed, hogy az egyes fileok módosítási dátuma mikori -bár ezt lehet hamisítani, de nem gyakori-. Ne feledjük, hogy a mai weboldalak nagy része már SQL-ben van tárolva, ezért ez a lehetőséget se hagyd ki, vizsgáld meg, hogy a vélt támadás óta -ha van mentésed- mik változtak az adatbázisban!

    A legtöbb esetben a támadásnak egyéb oka is van, tehát szeretnének SPAM-met küldeni a tárhelyedről vagy hasonló, tehát esetleg kérdezz rá, hogy a tárhelyedről milyen levelek mentek ki!

    Hirtelen ennyit tudok segíteni, remélem meglesz a probléma forrása!



  7. #7
    ɯopǝǝɹɟ Freedom logója
    Csatlakozott
    09-11-02
    Hozzászólás
    5.380
    Begyűjtött 2.020 köszönetet
    1.285 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    nekem meg egyszer egy behúzott képre (img) riasztott a google. Ahonnan a kép be volt linkelve, az a weboldal volt vírusos. Egy belinkelt képe elég volt, hogy a Google riasszon. Javaslom Csurga, hogy nézz ennek utána (van a weblapodon máshonnan beillesztett kép?)



  8. #8
    kgc
    kgc nem elérhető
    kgc for president kgc logója
    Csatlakozott
    07-05-01
    Hely
    Ouagadougou...
    Hozzászólás
    2.597
    Begyűjtött 32 köszönetet
    9 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    C:\users\ggggggg\appdata\local\temp\svchost.exe

    Ezt másolja be a gépre és ez kért kifelé engedélyt a tűzfalamtól.
    Az avg nem találta vírusosnak, zombigép kreáláshoz viszont nem kell vírus, elég egy végrehajtó exe ami akár még ez is lehet. Csekkolnám a kódot mert itt valami gáz van.

    Szerintem...

    up: törölni csak a úgy lehet, ha előtte a taszkmenágerben lelövöd.

    up2: restart után a kitörölt fájl újra megjelenik a temp-ben. Míg nem tudjuk, hogy pontosan mi az addig ne nyissátok ameg az oldalt.


    Utoljára módosítva: kgc által : 2011-09-11 21:03

  9. #9
    Képszerkesztő Csurga logója
    Csatlakozott
    10-10-17
    Hely
    Hmvhely
    Hozzászólás
    1.101
    Begyűjtött 317 köszönetet
    206 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    Lesz dolgom, köszönöm az ötleteket, rengeteg van (csak az időm kevés most), de egyenként utánanézek mindennek. Először is írtam a tárhely szolgáltatónak, hogy ellenőrizze, hátha talál valamit, még nem jött válasz, talán majd holnap.

    A lapommal kapcsolatban átnézem a lehetséges felvetéseket, egyenlőre gyorsan megnéztem a .htaccess-t, semmi különös dolgot nem tartalmazott...

    A FTP access log-ot nézegetem, hátha kerül valami gyanús elem a szemem elé, de elég nagy fájl, tehát tű a szénakazalban effektus. Indexben is megnézem, hátha találok valamit. Ha jutok valamire szólok mindenképp, tényleg ne nyissátok meg, nehogy kár érjen valakit.

    Behúzott kép is érdekes kérdés, sajnos van behúzott kép (nem sok egyébként, de van), de átnézni ezeket (melyik mi, jó kis idő lesz).

    Google webmastersben is kivizsgálom a dolgot ahogy van időm.

    Köszi mindenkinek, meglesz a válasz, biztos vagyok benne.



    UPDATE1: Webmasters-ben: A Google nem észlelt kártékony programokat ezen a webhelyen.


    Utoljára módosítva: Csurga által : 2011-09-11 22:38

  10. #10
    kgc
    kgc nem elérhető
    kgc for president kgc logója
    Csatlakozott
    07-05-01
    Hely
    Ouagadougou...
    Hozzászólás
    2.597
    Begyűjtött 32 köszönetet
    9 hozzászólásával

    Alapbeállítás re: Webtárhelyen vírus?

    No mégegy rövid infó:

    A lap megnyitása után pár másodperccel az ominózus svchost.exe nevű fájl adatforgalmi engedélyt kifelé irányába.

    Leszedtem az eset online szkennerét és a logfájlban ezt írta:

    C:\Users\bbbbbb\AppData\Local\Temp\svchost.exe a variant of Win32/Kryptik.SRS trojan cleaned by deleting - quarantined

    Nem tudom, hogy tényleg a lapodról jött-e a dolog de az biztos, hogy az egybeesés kisérteties. Meg kéne nézni, hogy a templéted honnan származik mert egy ismerősőm lapját bütykölgetem és az ő wp templét fájljaiban is találtam ilyet ami megint egy fura egybeesés. Az viszont érdekes, hogy bár a wp templétjében volt ilyen hiba, de az ő lapján sem jelzett semmit a wmt.



Oldal: 1 / 2 12 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •