Scanare website

[marcos29]

De curand am fost instiintat ca cineva mia atacat site-ul prin javascript injection. Acum trebuie sa-l curat dar nu stiu exact unde sa gasesc acele coduri intoduse. Ce trebuie sa fac. ma gandeam sa scanez site-ul dar nu gasesc nici un soft. Voi cu ce va scanati siteul?

[Seinfeld]

View source.

[marcos29]

sursa la ce. La index? c am o gramada dea fisiere php. Pe undeva e introdus un cod javascript..da nul gasesc.

[dorin.georgescu]

Cel mai sigur este sa stergi ce e acolo deja si sa restaurezi dintr-un backup recent.

[ConstantinLG]

daca ai baza de date (cea mare sansa ca de acolo sa vina javascriptul), exporti baza de date ca text si efectuezi o cautare text dupa
' <script>'
sigur trebuie sa returneze ceva. Stergi tot scriptul ce nu iti apartine si iti cauti vulnerabilitatile din site, le elimini, altfel vei avea probleme din nou

[ciprian2006]

De curand am fost instiintat ca cineva mia atacat site-ul prin javascript injection. Acum trebuie sa-l curat dar nu stiu exact unde sa gasesc acele coduri intoduse. Ce trebuie sa fac. ma gandeam sa scanez site-ul dar nu gasesc nici un soft. Voi cu ce va scanati siteul?

am avut si eu ceva probleme, toate fisierele index imi erau infectate, daca le curatam in cateva ore erau la loc, m-am gandit ca problema e in calculator. am renuntat la nod32 si mi-am pus avira (am mai incercat si altele dar nu au gasit nimic). avira a fost singurul program antivirus care a gasit ceva.

dupa o scanare completa a calculatorului, am descarcat sursa siteului si le-am curatat, problema e ca iti va sterge fisierele infectate.

sfatul meu e sa incerci in felul urmator, daca nu ai o arhiva a siteului ... caz fericit:

- scanezi calculatorul
- dezactivezi antivirusul
- cureti manual sursa siteului de scriptul bagat de antivirus (la mine eraun rand de cod, ultimul), asta daca ai putine fisiera de tip index, daca ai joomla....
- activezi antivirusul si scan din nou la calculator

spor la treaba si rezolva cat mai repede, eu am primit penalizari pe toata treaba asta

[evolution]

Sunt troieni care fura parolele de ftp si introduc automat pe site ,in index,diverse linkuri ascunse.

marcos29, daca pui aici adresa te putem ajuta. Oricum, cauta in codul sursa.

Sunt mai multe modalitati de a insera linkuri , atentie si la forms (<input type ...) login,contact etc daca sunt filtrate datele in vreun fel, altfel se pot executa linii de cod.

[inSecure]

marcos daca dai mia multe detalii poate te ajutam. Ce fel de atac a fost?
CSRF sau XSS?

[warrior]

Am ajutat pe cineva sa scape de o problema asemanatoare acum cateva zile. In cazul lui atacatorul introducea un iframe in fiecare index.php si nu numai.

Daca si tu ai patit la fel exista 3 posibilitati prin care ti-ai creat "bucuria" asta. Fie nu ai permisiunile setate corect pe server (644 la files si 755 la folders) fie ai instalat vreun script pe care nu l-ai actualizat sau are vreun exploit, fie ai calculatorul virusat si atacatorul a intrat prin ftp.

Indiferent de modul cum s-a petrecut asta ai de facut urmatoarele:

1. Verifici permisiunile tuturor fisierelor/folderelor. daca ai acces la ssh iti pot da fragmentul de cod prin care le modifici permisiunile in masa.
2. Formatezi PC-ul si iti instalezi un antivirus bun. (De preferat Avira)
3. Schimbi toate parolele de pe server. (ssh, ftp, baze de date, mail, etc.)
4. Verifica toate fisierele din cpanel/plesk dupa data cand au fost modificate. (cel mai probabil toate fisierele infecate au fost modificate in aceasi zi/ora)
5. Ia fiecare fisier in parte si elimina codul malitios. (CTRL+F "iframe" sau "<script") - O sa il recunosti repede deoarece se incarca de pe un site dubios, cel mai probabil un subdomeniu al unui site din china, rusia, etc.
6. Revii cu detalii aici dupa ce pui in practica tot.

LE. Nu uita sa updatezi toate scripturile pe care le folosesti. Variantele noi de CMS-uri sau pluginuri nu sunt facute doar ca sa pierzi timpul cu actualizarea.

[voidcode]

si eu am patit acelasi lucru si am procedat in felul urmator.
Am sters codurile care propagau virusul, am schimbat portul de ftp si folosesc un client de ftp care face transfer criptat de fisiere aici poti downloada: http://winscp.net/eng/download.php si foloseste protocol SCP, si garantat nu o sa mai ai probleme niciodata

succes