Mám problém s bezpečnostními hlášeními. Po nahrání na server stránky fungují chvíli správně, ale od určitého okamžiku mě na ně nepustí antivirák, kvůli nalezené infekci s názvem Exploit JavaScript Obfuscation. Zjistil jsem, že se do kódu všech souborů v havním adresáři přidá většinou ještě tentýž den kus kódu v tagu <script>, který ale není od mne. Znemožní se tak pak díky antiviráku přístup na všechny stránky a podstránky v hlavním adresáři. Nneí to problém jen zde, dělá mi to i u stránek na swebu. Můžete mi poradit?
Ve kterém souboru? Kromě povinné reklamy v index.htm žádný další <script> nevidím.
<HTML>Ondra: zřejmě jste napaden virem. Projděte programy po spuštění, projděte běžící procesy, zavřete všechna okna v prohlížeči a zkontrolujte jeho startovní stránku, změňte hesla na FTP, neukládejte je nikam do počítače (ale do své hlavy), používejte bezpečný prohlížeč a nainstalujte si bezpečný operační systém. Nic dalšího mě nenapadá.</HTML>
Kit: Právě že časem se to objeví ve všech souborech v hlavním adresáři. Před chvílí jsem některé věci nahrával znova, akuálně by to mělo být například tady: bluegrassguitar.wz.cz/kontakt.htm , ../odkazy.htm nebo ../ome.htm. Hlásí vám to taky hlášku od antiviráku, když chcete jít na některou z těchto stránek?
Nípal: V běžících procesech je toho spousta, ale nevím, co by mohlo být potenciálně nebezpečné. Aktuální verze AVG mi nic nehlásí. Hesla změním a neuložím, uvidíme, jestli to pomůže. Používám Mozillu a Windows XP.
Antiviráky nepoužívám, nic mi to tedy nemůže hlásit, ale ten závadný skript vidím. Asi bude potřeba nejprve odvirovat OS, případně si nainstalovat nějaký bezpečnější, jak už naznačil Nípal.
Všiml jsem si, že v postižených souborech je navíc jedno "e" před tečkou, tedy indexe.htm, tabse.htm, DVDe.htm apod. Asi by bylo dobré tyto postižené soubory smazat.
To jsou soubory s anglickou verzí stránek, protože jsou v hlavním adresáři, tak jsou napadené taky. Zajímavé je, že kdybych je měl v podadresáři (jak mám např. i jiných svých stránek na swebu), tak napadeny nebudou. Jak mám odvirovat OS? AVG se zdá být asi k ničemu že? Který je ten bezpečnější OS? Nějak se mi do toho nechce, když jinak je všechno ostatní (zatím) v pořádku.
Mám asi blbý antivir - nic mi nenajde (NOD). Anebo jsi to stihl už odvirovat...
V podstatě cokoli kromě produktů Microsoftu.
Antivirové programy fungují tak, že honí kunu, která se volně pohybuje uvnitř zavřeného kurníku. V principu jsou tedy všechny špatné, nevybereš si. Docílíš akorát zpomalení PC.
Zásadní chybou je provozování operačního systému s administrátorskými právy, což IMHO dělá většina běžných uživatelů Windows.
- zavři okna, kde si prohlížíš své stránky
- změň heslo na FTP
- najdi si nějaké udělátko na odstranění toho exploitu
- zkontroluj lokální prezentaci, zda je čistá
- nahrej soubory znovu přes FTP. Heslo neukládej
- zkontroluj prezentaci
Teď mě napadá, že ten exploit vůbec nemusí být v PC. Stačí browsovat po nějakých nakažených stránkách, JavaScriptem si otevřít soubor s hesly Total Commanderu a pomocí přihlašovacích údajů měnit všechny dostupné webové prezentace.
Ovšem nějak mi to nesedí s Mozillou. Slyšel jsem, že tohle dělá MS Explorer. Nemáš ho náhodou taky spuštěný, třeba na jiné stránce?
No změnil jsem si hesla, změnil jsem ftp klienta (místo TCmd mám teď FileZilla-doufám že to není ještě horší :-) ), hesla neukládám, nahrál jsem znova čisté soubory a budu čekat, co to udělá. IE nepoužívám, nemám ho spuštěný. Kadopádně díky za rady, budu informovat, co jsem vysledoval.
Ještě vymaž cache prohlížeče.
Zdá se, že ten exploit zná soubor c:\windows\wcx_ftp.ini , ve kterém jsou hesla Total Commanderu kódována velmi primitivním způsobem.
<HTML>Proto tenhle soubor dávám do složky Total Commanderu. V C:\Windows nemá co pohledávat.</HTML>
Hlavně když ho tam TC najde a nesnaží se ho přesunout zpět.
Udelal jsem to co popisuju v minulem svem prispevku a je pokoj (doufam definitivne :-) ). Diky moc za odezvy!