Troieni si iframe

**emanuel** · 24th October 2009, 13:10

Am doua... sa le zicem situri.
O pagina chioara in care am pus simple viewer iar pe alta adresa un wordpress.
Destul de des ma trezesc cu troieni sau cu iframe pe aceste doua situri, asta
in conditile in care am foarte putini vizitatori.
Ce au in comun aceste doua situri este formularul de contact, luat de pe net.
Se poate ca prin acest formular sa imi sparga situl ?

**Cristi G** · 24th October 2009, 14:04

Orice e posibil . Daca ce e tastat de utilizator in acel form nu este securizat, ti-l poate sparge foarte usor.
Sunt pe acelasi host? Poate ti-a aflat parola de la FTP, si asta e o posibilitate.

**emanuel** · 24th October 2009, 14:09

Postat în original de FinalDestiny

Orice e posibil . Daca ce e tastat de utilizator in acel form nu este securizat, ti-l poate sparge foarte usor.

Asta cum pot verifica ?

Postat în original de FinalDestiny

Sunt pe acelasi host? Poate ti-a aflat parola de la FTP, si asta e o posibilitate.

Gand la gand. Da, sunt pe acelasi host.
Acum citeam pe net de vulnerabilitatea CuteFTP.
http://www.f-secure.com/vulnerabilities/SA200904998
Il schimb cu ultimul release.
Poate asta era problema.

**dublutz** · 24th October 2009, 14:16

Am avut si eu problema asta.
Exista un troian pe calculatorul sau calculatoarele care se conecteaza la ftp. Troianul, probabil ca asculta portul ftp si citeste informatiile de conectare dupa care se conecteaza la ftp, cauta index.php, index.html etc si injecteaza codul html iframe.

Ce trebuie sa faci:
- Scaneaza toate calculatoarele care se conecteaza la ftp, probabil ca o sa gasesti un troian numit RootKit, sau ceva asemanator. Avast il gaseste foarte usor si il si sterge.
- Modifica parola de conectare la ftp, alege una putin mai complicata si care nu ai folosit-o niciodata de la inceperea atacurilor.
- Troianul cauta in index.php linia de end ?>, scapa de ea. Exista aceasta posibilitate daca dupa inchidere nu mai exista cod html. Php nu se supara, si este foarte bine si pentru erorile de genul "header already send" care sunt foarte greu de gasit.
- Pentru index.html nu am gasit o solutie, dar la mine nu a fost cazul.

**emanuel** · 24th October 2009, 14:59

Am gasit ikowin32.exe in startup. L-am sters.
Am rulat NOD32 si mi-a gasit :
Win32/TrojanDownloader.Small.OSP
Win32/Spy.Delf.NYJ Trojan

Win32/Spy.Delf.NYJ Trojan l-am luat de pe un site cu Wordpress Themes,
restul sunt de-ai casei, e a nu stiu cata oara cand dau de ei

.

**Shumy** · 24th October 2009, 17:14

mama ce imi vine sa injur .. nu stiu de cate ori am refacut siturile .. am rescris codurile din cauza troienilor astea

**warrior** · 25th October 2009, 01:15

incercati AVIRA ca antivirus. eu cu NOD32 nu am gasit virusul responsabil de iframe-uri. Daca ai instalat NOD32 intra pe o pagina a siteului tau infectata cu acel iframe si vezi daca iti detecteaza virusul.

**Dragos Nicu** · 25th October 2009, 12:09

Postat în original de virusel

mama ce imi vine sa injur .. nu stiu de cate ori am refacut siturile .. am rescris codurile din cauza troienilor astea

De ce sa injuri? Ca n-ai dat nici un ban pe template-uri sau scripturi? Ce e gratis, presupune riscuri majore, ce e cu bani riscuri minore. It's easy.

**Liviu Timar** · 25th October 2009, 20:45

Si eu am avut aceeasi problema in trecut si asa este, troianul asculta portul FTP, intercepteaza parola si apoi se conecteaza la acele conturi FTP si modifica fisierele index.* si default.* (te poti uita in log-ul serverului FTP si vei vedea conectari succesfull de la IP-uri despre care nu stii nimic).
Cea mai buna solutie este sa folosesti SFTP sau FTPS, in functie de ce iti ofera providerul de webhosting. FTP trimite parolele in clar in retea si de asta troianul le poate folosi. Cu FTPS sau SFTP parolele vor fi criptate.
E cea mai buna solutie pentru ca in general, stiti si voi, programele antivirus nu te scapa in totalitate de troieni/virusi. Daca ai si o retea sau sunt infectate mai multe caculatoare, sansele de a scapa in totalitate, fara o formatare a tuturor calculatoarelor, sunt practic nule.

LE: alta posibilitate ar fi folosirea unui Windows curat sau a unul Linux pentru conectarea la FTP, intr-o masina virtuala.
LE2: ai grija ca, daca site-urile iti raman infectate le va fi atribuit flag-ul acela "This site may harm your computer" in Google SERPs si va aparea pagina aceea tampon pe Firefox/Chrome etc.. Nu e ceva chiar de dorit pentru un site important si vizitat. Daca totusi se intampla, se poate rezolva din Google Webmasters Console, trimitand o Reconsideration Request, dupa ce dezinfectezi site-ul.

**Shumy** · 26th October 2009, 01:38

Postat în original de Dragos Nicu

De ce sa injuri? Ca n-ai dat nici un ban pe template-uri sau scripturi? Ce e gratis, presupune riscuri majore, ce e cu bani riscuri minore. It's easy.

eu nu cred ca e de la template .. erau facute de mine deci ... cred ca de la vre-o permisiunea prost pusa .. sau vre-un virus prin pc care mi-a luat parola in timp ce ma conectam

Subiect: Troieni si iframe

Instrumente subiect

Afișează

Troieni si iframe

Informații subiect

Utilizatori care navighează în acest subiect

Thread-uri Similare

Iframe

Adsense Iframe, Ilegal?

link in iframe

Alternative pt <iframe> ???

problema cu tag-ul <iframe> ?

Permisiuni postare