Sari la conținut

criserb.com a fost virusat

25 Feb 2010 @ 00:29

De dimineata m-a anuntat Seby ca am ca am o problema cu blogul.

Am intrat si imi dadea o mare eroare… cu pluginurile WP Users Online si cu Subscribe 2. Dupa ce le-am dezactivat am observat ca in adminul blogului imi aparea un iframe cum se vede mai jos.

x2_bc6cf8

Un text in ruseste. L-am cautat pe net si am vazut ca e prezent in destule locuri.

Ovi mi-a sarit in ajutor si a reusit sa-l scoata de pe aproape toate siteurile pe care le gazduiesc. Mi-am dat seama ca sunt mai multe decat ma asteptam :)

Eh, a reusit sa-mi scoate iframeul cam de peste tot.

Pe langa iframe am observat ca virusul (sau ce o fi) dezactiveaza toate JavaScript-urile ce le gaseste online, acesta fiind motivul pentru care cele 2 pluginuri imi dadeau erori. Mergand mai departe in cercetari constat ca nu-mi mai mergeau nici bannerele de pe blog, ele apeland un JavaScript.

Acum pe seara am gasit si eu scriptul buclucas intr-un html al unui banner. Iata-l:

virus

Ma poate ajuta cineva sa-mi zica cum l-am luat? Banuiesc ca l-am pus pe server prin FTP, altfel nu-mi explic. Dar programator nu sunt asa ca orice ajutor ar fi apreciat. 

Si mai am o rugamine, sa-mi sugerati cum pot sa-l caut peste tot pe server. Cum pot sa-l caut online pentru ca sa downloadez tot ce am pe server si sa-l caut local e aproape imposibil, am deja online 3.5 GB de date :(

Cum îmi dau seama dacă mierea din borcan este naturală?
Ti-a placut acest articol?
comentarii Facebook
7 comentarii
  1. Ghiocel07 25 Feb 2010 @ 07:56

    Putem sa-l luam si noi cei care navigam pe blogul tau?

    Raspunde
  2. ionut_d 25 Feb 2010 @ 09:00

    Problema e simpla. Probabil cand ti-ai virusat calculatorul cu YM ai luat si prostia asta pe care ai incarcat-o cumva pe ftp si de aici “bucuria”. Exista un php pe care il incarci si il rulezi si rezolva el pt tine tot. L-am folosit pt aceeasi problema. Imi pare rau ca nu imi amintesc acum numele. Este o problema asemanatoare cu cea de aici

    Raspunde
  3. Andrei 25 Feb 2010 @ 09:48

    Fa cum zice aici: http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/comment-page-1/ si vei scapa, daca ai backup :P. Am patit si eu in trecut

    Raspunde
  4. fabby 25 Feb 2010 @ 17:13

    schimba parola la ftp apoi cauti in toate fisierele (index.php si js-uri) vezi care sunt virusate, scoti virusul din ele…schimbi parola iar la ftp si iti stergi din programul de ftp contul.

    si daca se reinfecteaza…mai faci asa…si ai sa scapi

    Raspunde
  5. Septi 26 Feb 2010 @ 10:45

    Si nu uita sa setezi permisiunile pentru foldere la 755 si pentru fisiere la 644.

    Raspunde
  6. MooNy 1 Mar 2010 @ 09:09

    Partea interesanta e ca acum nu mai primesc nimic din ce postezi nou pe mail..

    Raspunde
  7. criserb 1 Mar 2010 @ 10:12

    :( merci ca mi-ai zis, nu stiam :( Am sa studiez sa vad cum se poate rezolva…

    Raspunde
Comentează și tu

Sfat: Inainte de a apasa butonul de mai jos asigura-te ca ai folosit un limbaj decent si ca nu te cheama “masina de spalat”, daca nu vrei ca vorbele tale sa ajunga in spam ;)