Pokaż wyniki 1 do 4 z 4

Temat: Wirus na stronie www

  1. #1
    Zarejestrowany
    Feb 2010
    Postów
    1

    Domyślnie Wirus na stronie www

    Witam!

    Temat jak dla mnie złożony.

    Moja strona www.olifit.pl jest zawirusowana. Zapoznałem się z witryną witrynazgloszonajakodokonujacaatakow.pl, zrobione wszystko od pkt.1 do 5. Ściągnąłem stronę na dysk, przeszukałem każdą linijkę kodu - nic nie znalazłem. Ta strona to prawie czysty HTML, więc łatwo znaleźć cokolwiek podejrzanego.

    Sprawdziłem sobie logi tego serwisu, co chwilę jest odwołanie (nie wiem czy stosuję odpowiednią terminologię):
    Kod:
    61.105.165.146 - - [08/Feb/2010:20:46:14 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/78tmain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    61.105.165.146 - - [08/Feb/2010:20:46:14 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/adidangaramain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    61.19.66.222 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://203.157.165.13/chk.php?m=01&y=2553" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)"
    61.105.165.146 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/donkihudmain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    61.105.165.146 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/nunsasemhudmain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    61.105.165.146 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/dangaramain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    61.105.165.146 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://mc2h6623.img.or.kr/dog100/nunsaramhudmain.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    94.249.10.243 - - [08/Feb/2010:20:46:26 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://alqamar.host.sk/abraj/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    91.178.243.16 - - [08/Feb/2010:20:46:28 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://www.delso.be/verkinderensite/default.asp?detailNED=1&id=394&language=NED" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)"
    94.249.10.243 - - [08/Feb/2010:20:46:31 +0100] "GET /cgi-bin/index.php HTTP/1.1" 404 513 "http://alqamar.host.sk/abraj/sagittarius/sagittarius.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
    Po krótkim przeglądzie logów usunąłem katalog "/cgi-bin/" a wraz z nim plik index.php, ponieważ jakoś mam dziwne wrażenie, że ten plik jest podjerzany.
    Po tym zabiegu otrzymuję mnóstwo błędów w logach o nieistniejącej lokalizacji:

    Kod:
    [Mon Feb 08 20:54:17 2010] [error] [client 119.152.235.150] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://www.shamimgulzar-e-saidan.com/Naats-Qawalis.htm
    [Mon Feb 08 20:54:42 2010] [error] [client 94.249.10.243] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://alqamar.host.sk/abraj/virgo/virgo_relationship_16.htm
    [Mon Feb 08 20:55:02 2010] [error] [client 186.104.135.241] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://lamejor.cl/festivaldemariapinto.html
    [Mon Feb 08 20:55:03 2010] [error] [client 186.104.135.241] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://lamejor.cl/inferior.html
    [Mon Feb 08 20:55:18 2010] [error] [client 94.249.10.243] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://alqamar.host.sk/abraj/virgo/virgo_relationship_14.htm
    [Mon Feb 08 20:55:21 2010] [error] [client 78.184.104.74] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin
    [Mon Feb 08 20:55:50 2010] [error] [client 78.167.55.23] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://www.yanyurt.com/koeyuemuezhakkinda/index.html
    [Mon Feb 08 20:55:57 2010] [error] [client 94.249.10.243] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://alqamar.host.sk/abraj/virgo/virgo_relationship_16.htm
    [Mon Feb 08 20:56:02 2010] [error] [client 78.167.55.23] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin, referer: http://www.yanyurt.com/index.html
    [Mon Feb 08 20:56:09 2010] [error] [client 201.238.211.112] script not found or unable to stat: /home/flapjack/domains/olifit.pl/public_html/cgi-bin
    Aktualnie strona jest ponownie zgłoszona do Google żeby ją przeskanowali.

    A moje pytanie brzmi czy jeszcze coś powinienem zrobić wg Was?

    P.S. Przepraszam jeżeli to nie ten dział co trzeba...

  2. #2
    Zarejestrowany
    May 2007
    Skąd
    Kraków
    Postów
    371

    Domyślnie

    na pierwszy rzut oka kod wygląda ok

    radziłbym dojść lepiej w jaki sposób ten wirus znalazł się na serwerze - atak może się powtórzyć

  3. #3
    Zarejestrowany
    Dec 2006
    Postów
    24

    Domyślnie

    a ja powiem tak
    Uzywasz Total Commandera?
    Jeśli tak to masz problem
    Musisz wyczyścić wszyskie plik na stronie
    i wywali TC i przerzucic się na Filezile albo inny program
    Ostatnio edytowane przez GarF : 03-18-2010 - 23:40

  4. #4
    Zarejestrowany
    Mar 2010
    Postów
    19

    Domyślnie

    uŻywasz*

    Zgadzam się z kolega wyżej - wywal lub uaktualnij TC, u mnie wystarczyła aktualizacja na 7.50.
    Wcześniejsza wersja źle przechowuje hasła i wirusek wykradał i się dopisywał do plików głownie do index.php,

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj