JS virus / malware mi uporno dolazi na stranicu

JS virus / malware mi uporno dolazi na stranicu i pravi probleme, ne znam kako ga se rješiti. Na index.php, .htaccess te neke datoteke u template direktoriju (header.php, footer.php). Svakih nekoliko dana mi na server upadne nekakav virus / malware šta je već i kao da editira fajlove poput gore koje sam nabrojao.

Kod izgleda ovako:

index.php

.htaccess

Kako se ovoga rješiti? Editiram fajlove, izbrišem te dijelove koda, ali se nakon koji sat/dan opet pojave. Ne znam kako zašto ? :S Greška sustava, možda imaju pristup serveru ili nešto treće? Ako netko zna, molio bih za pomoć…

Promijeni lozinke od FTP-a , skeniraj računalo.

Misliš možda da na računalu imam neki virus pa prilikom FTP pristupa se sam prebaci na server ? Ugl, probam skinuti cijeli sajt na komp, izbrisati tj. editirati te fileove, skenirati komp, promijeniti FTP user i pass te potom ponovno sve uploadati gore…

Hvala :wink:

Virus si pokupio na netu, on ti onda preko FTP-a ili cPanela udje i postavi svoj kod. Dakle, promijeni sifre, srusi sistem (ako ti se da) te kontaktiraj korisnicku sluzbu. Meni su sa hostgatora sami nasli virus i uklonili ga. Nalazio se negdje u onoj pocetnoj/glavnoj stranici na hostingu.

I naravno koristi legalne windowse i antivirusne programe sa kupljenom licencom.

Hvala, probam nešto iskemijati pa javim!

I kod FTP-a koristi FTPS

Meni se dogodila ista stvar. Koristi malwarebytes da ocistis komp i promjeni lozinke FTP-a kako su ostali rekli.

Auu…

Eto se i meni nešto slično dogodilo.
Još jedna osoba i ja radimo na web stranicama koje su na 2 servera (jedan domaći i jedan strani, nebitno).

I kod mene i kod nje su se našli neki virusi (ja imam Avast, ona NOD32).
Ovi:
PHP:Agent-GB
JS:Pdfke-gen
JS:Kryptik.AAK

Na OBA servera su skoro svi index.php promjenjeni, čak i .htaccess na jednom (i pojavio se jedan fajl google_verify.php)
Koristim FileZillu.

Sad, jasno mi je, moram deinstalirati filezillu.
Očistiti oba kompa.
Promjeniti passworde za ftp accounte.
Očistiti oba servera.
Napraviti neku jaču zaštitu (?)

The thing is, prvi korak znam napraviti (uninstall filezille).
Već drugi korak nisam 100% siguran :slight_smile:

Ima li netko ovdje tko je neprikosnoven za temu virusa ?

Pokrenuti AV da skenira sve datoteke/procese i sl. - po mogućnosti što preglednije( više vremena će trebati)
Avast s licencom, free ili s torrenta?

Radi li se o Wordpress instalaciji? Da li si theme i sve pluginove downloadao s originalnih izvora? Obicno nulled/crackirane theme i pluginovi budu backdoor za ovakve tipove virusa.

Backdoor ne mora biti samo u fajlovima, vec se moze nalaziti i u MySql bazi pa i tamo pogledaj.

Da, Avast free.

Uh, mislim da je jedna (a većina ih je Wordpress, neki su još 3.2.1 verzija) tema iz sumnjivog izvora.
Tako je kad frendu ponudiš hosting :slight_smile:
Jedina ima neki footer koji je kodiran.

A šta, moguće je da s te jedne teme to sve pređe na ostale stranice na istom hostingu (ok, je), a onda na neki način (preko ova dva kompa vjerojatno) i na drugi server ?

Ajajaj, tko će to sve porješavati, kako mrzim te “hakere” i viruse i trojane i malware i sve, sve ih mrzim.

Kako ću u sql-u pregledati, šta, pa imam preko 20 baza, tko zna koliko tablica…

Sumnjam da bi s jednog servera preko tvog racunala presao i na drugi server mada je i to moguce. No definitivno moze s jednog accounta preci na drugi account istog servera. Pobrisi sumnjiv theme kompletno, pobrisi sve inficirane fajlove i pretrazi fajlove unutar Wodpress installacija koji se datumom razlikuju od ostalih jer takvi su mozda instalirani od strane hackera.

Instaliraj security plugin na WP instalacije:
WordPress › BulletProof Security « WordPress Plugins

Pretrazi MySQL baze za “base64” i pregledaj user tablice.

Prava je napast to, pre mesec - dva sam sa klijentovim serverom imao isti problem (10 WP sajtova je bilo zaraženo). Posle čišćenja fajlova i updatea pluginova i WP-a, opet se vraćalo. Rešeno je izmenom svih FTP i ostalih lozinki, kao i onesposobljavanjem jednog fajla u jednoj temi koja je u sebi sadržala i online prodavnicu (jedan njen fajl za upload koji je loše kodiran je iskorišćen za inficiranje).

Problema sa bazom nije bilo, napadi su se odnosili isključivo na fajlove, toko jednog od napada su čak i neki JS fajlovi bili zaraženi. Inače, uglavnom napada php fajlove koji se nalaze u home folderu sajta (login.php obavezno). Mada, nije loše i da uradiš neki query na bazi, čisto da budeš siguran da je čista.

Evo ti par nekih saveta iz mog iskustva kako to da očistiš i da sprečiš da do toga dolazi:

  • Promeni sve lozinke koje koristiš.

  • Umesto “običnog”, nezaštoćenog FTP protokola, pri povezivanju koristi SFTP ili neku drguu podržanu verziju koja podatke ne šalje ne zaštićene tako da može bilo ko da ih “presretne”.

  • Malo ljudi zna ovo, ali FileZilla sve FTP podatke (i lozinke) čuva u plain text formatu u xml fajlu, dakle potpuno nezaštićene, tako da su veoma lako dostupne raznim napastima. Zbog ovoga sam ja (a i savetovao sam klijente) da pređu na programe poput WinSCP, koji šifruje sve sačuvane lozinke (koristi se i master password), pa i ako budu ukradene, napadač neće imati puno koristi od njih (naravno, može ih provaliti, ali to bi potrajalo). Možeš i FileZillu nekako nakalemiti da bezbednije čuva lozinke, ima uputstava na internetu (mada se meni nije to radilo).

  • Ako imaš SSH pristup serveru (ako je to shared server, veorvatno nemaš, ali eto savet može pomoći nekom drugom sa ovim problemom), putem Putty možes sledećom komandom naći sve zaražene fajlove:

    grep -r -H -l “d93065” *

Ovo će ti izlistati sve fajlove koji sadrže “d93065” (ovo sam stavio jer vidim da se ponavlja u svim kodovima, možeš staviti i nešto drugo).

  • U slučaju da je to shared server, možeš instalirati grepWin, skinuti fajlove sa servera i na svom računaru potražiti u njima delove malicioznog koda (desni klik na folder sa fajlovima, pa odaberi grepWin i zatim unesi pojam za pretragu fajlova).

  • Ako tvoj hosting provajder ima neki antivirus (često je to ClamWin), možeš ga pronaći u CPanel i skenirati sajt sa njim, za svaki slučaj.

  • Naravno, uveri se i da je tvoj sistem, to jest računar čist i nema nekih napasti (sken sa Avastom, MBAM…).

1 Like

Sve stoji, osim:

  • WinSCP mi je bio užasno spor, ne znam zašto, i preko FTP i preko SFTP protokola (da, na shared hostingu sam)
    Skinuo sam CoreFTP, ali se nisam uspio spojiti preko SFTP-a. Dobro, za sada i ne treba, samo skidam sve fajlove na komp.
  • Onaj grepWin mi ne treba, imam Notepad++, i on uspješno traži po fajlovima unutar foldera (i subfoldera)

Hvala na poruci!

Hvala na tebi na dopuni. Inače, grepWin koristim jer mi je malo jednostavnije kad u nekoliko grupa fajlova tražim nešto, ali to je čisto stvar navike, i Notepad++ ima iste funkcionalnosti. Za WinSCP ne znam zašto te zezao, ali ima on tako nekih svojih nedostataka, nekome se pojave, nekome ne.

Sudeći po naslovu teme, vjerojatno se radi o tome da je tip “virusa malware” ugnježđen negdje na smještaju, odnosno “host-u” (pretpostavka).

Sličan slučaj imao sam kod sebe, kada smo nešto testirali, provjeravali, a kad odjednom, “virus” iz Javascript-a nam se ugnjezdio na glavni server, pa se dalje s glavnog prenosilo na servere i računala “niže razine”.

  • uklonili smo ga tek kasnije, kada smo primjetili da je zapravo bila greška u kodu, a ugnježđen je bio na glavnom serveru