kqba Napisano 6 Kwietnia 2012 Zgłoś Napisano 6 Kwietnia 2012 Mam problem z serwerem FTP na którym mam kilka stron. Otóż Eset zaczął wykrywać trojana o nazwie JS/Iframe.CV i blokował stronę, a następnie dostałem od administratora Nazwa.pl maila takiej treści: W dniu dzisiejszym Administrator był zmuszony zablokować dostęp do katalogu:/home/ambasadaclub/ftpPowodem blokady było wgranie plików, które zawierały złośliwy kod prowadzący do nielegalnej strony czy też złośliwego oprogramowania.Lista plików zawierające złośliwe oprogramowanie:-rwxrwxrwx 1 281441 154966 9065 Apr 4 21:44 AC_RunActiveContent.js-rwxrwxrwx 1 281441 154966 3105 Apr 4 21:45 index.htmlpowyższe pliki są tylko przykładowymi, proszę pobrać zawartość serwera i przeskanować ją oprogramowaniem antywirusowym.Pliki najprawdopodobniej zostały wgrane poprzez nieaktualne lub zawierające luki aplikacje zainstalowane na Państwa serwerze.Proszę o plików z zablokowanego katalogu lub ich usunięcie, jeżeli nie były oryginalnie utworzoneBardzo dobrym rozwiązaniem będzie również aktualizacja skryptów na serwerze,modyfikacja haseł do FTP oraz sprawdzenie lokalnych komputerów programem antywirusowym. Skopiowałem całą zawartość na pamięć przenośną i przeskanowałem: Eset NOD 32, Dr.Web CureIt! oraz Malwarebytes Anti-Malware, ale tylko Eset to wykrywa. Poniżej przykładowe logi: ESET: Wklejka #726324 – Wklej.org Malwarebytes Wklejka #726326 – Wklej.org Nie wiem co dalej robić, jak to usunąć. Proszę o pomoc i sugestie, bo strony nie działają. Mogę ewentualnie umożliwić dostęp do katalogu na serwerze. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Aquarium Napisano 7 Kwietnia 2012 Zgłoś Napisano 7 Kwietnia 2012 Ten js powinien być z Flasha - też mam taki na stronie, tylko że mniejszy - ver. 1.7 z Flash CS3 ma 8 321 bajty i jest standartowo w katalogu Scripts. Jak nie używasz flasha na stronie to faktycznie może być podróbka 8O AC_RunActiveContent.zip Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
kqba Napisano 9 Kwietnia 2012 Zgłoś Napisano 9 Kwietnia 2012 (edytowane) Dzięki za pomoc. Poradziłem sobie z tym badziewiem. Mój Eset NOD32 nie wykrywał tego trojana w plikach .js dopiero Avast sobie z tym poradził. Zainfekowane pliki w zależności od rodzaju (php/js/html) miały na końcu dopisany kod. Całe szczęście nie musiałem tego robić "na piechotę", bo Dreamwaver sobie z tym poradził hurtowo. Mam nadzieję że będzie już dobrze. kod, który był dopisany na końcu. http://wklej.org/id/728274/ Edytowane 9 Kwietnia 2012 przez kqba Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
