Hlavní stránka > Diskuse > Re: JS/TrojanDownloader.Agent.NRL

Diskusní fórum

 JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.78-98-125.t-com.sk)
Datum:   22. 12. 2009 10:14

Moje stranky boli nainfikovane skodlivym kodom:
/*GNU GPL*/
try{window.onload = function(){var E411a2jh88t =
document.createElement('script'); ...


Pri prvom utoku boli nainfikovane subory iba na jednej stranke. Subory som
vymenil za zdrave a zmenil som vsetky hesla na FTP.

No po cca 24 hod, som mal nainfikovane vsetky weby na hostingu, niekolko tisic
suborov PHP a Javascript. Zrejme mam niekde dieru, alebo sa utocnik dostal
priamo na FTP, neviem.

Kazdopadne som stranku, o ktorej si myslim, ze je derava vypol, tak uvidim.

Vyrobil som si protiliek, a vsetky subory na servery som vyliecil. No cakam kedy
sa bude utok opakovat.

Preto sa chcem opytat, ci s tym mate skusenosti. Paradoxne, ked som na internete
hladal riesenie, tak vsetky stranky kde to bolo spomenute boli nainfikovane.

Nastastie mam NOD takze to hned maze, mam aj Comodo Firewall tak si myslim ze na
mojom PC nebezi ziaden trojan, ktory by odosielal moje helsla alebo podobne.

Kazdopadne dakujem za kazdu reakciu k teme.

PS: V pripade zaujmu o lieciaci kod v PHP mi napiste do odpovede, a poslem Vam
ho, ak mate podobny problem ako ja. Netreba nic mazat, vsetky subory sa daju
vyliecit.
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: jon1k555   (---.47.114.136.adsl.nextra.cz)
Datum:   22. 12. 2009 10:39

Nevim jestli je mozne, ze by byl problem nekde na serveru, ale spis bych rekl,
ze za to muze vir u tebe... poradne projet komp, zmenit hesla ftp, neukladat si
je...
mozna pouzit SFTP jestli jde?


Google
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: hrouzek   (---.t-mobile.cz)
Datum:   22. 12. 2009 11:27

Ahoj,
podobný problém jsem měl i já. Pro přenos souborů na server jsem používal FTP
klienta Total Commander, ale jak se mi tam objevili virus, tak jsem začal
používat WinSCP. Od té doby je vše v pohodě.
Hlavně si pržádně odviruj svůj vlastní počítač od všech různých virů, trojanů a
podobných hajz..ů.
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.78-98-125.t-com.sk)
Datum:   22. 12. 2009 16:19

Toto je inak paradna diera v prehliadacoch. Dostalo sa to ku mne, ja som to
sidce cez firewall zablokoval. Ale aj tak to dokazalo ukradnut hesla, co som mal
ulozene v Total commander.

Nastastie mam vsetko na jednom hostingu, takze som musel vyliecit iba 2 FTP
konta.

Odteraz uz hesla k ftp neukladam.

Aky by som mal pruser, keby mi zmazali cele FTP, kludne to mohli spravit. Este
ze sa tie kody daju celkom lahko vyliecit.

Inak na jednom FTP to infikovalo subory kodom, ktory si u mna na PC v temp
zlozke vytvoril exe subor, to NOD nezistil, ale firewall ano. A na druhom FTP to
nainfikovalo subory tym JS/TrojanDownloaderom. To uz NOD rozpoznal a hned
mazal.

Kua, vlastne som mal stastie B-)
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.78-98-125.t-com.sk)
Datum:   22. 12. 2009 16:21

Inak myslite, ze takto lahko to mohlo ukradnut aj hesla z FireFoxu?

Dufam ze nie, ale teraz mam strach aby to nemalo vsetky moje hesla, co mam
ulozene ku strankam atd.
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: cino   (62.168.72.---)
Datum:   22. 12. 2009 19:41

ono je dobre neukladat si hesla vobec,:) poucil som sa na tom ,a stacilo mi,a
ani ked som na nete niekde mimo neukladam nic a hned vsetko mazem cookies atd
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: Zedňa   (---.vivo.cz)
Datum:   24. 12. 2009 14:15

Jasne to je vir,ktery ti pres spravce souboru nakazi FTP, taky se mi to stalo.
Pokud mas tech hesel moc nebo si je nepamatujes, tak si je ukladej do
zaheslovaneho excelu nebo wordu a odtamtud si je muzes kdykoliv zkopirovat

Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: yetty   (---.client.investtel.cz)
Datum:   24. 12. 2009 15:14

Doporučuji nějakou specializovanou klíčenku, mně se skvěle osvědčil keepassx
(protože jede i na Linuxu), ale dá se jich najít víc.

Yetty

Vše o PC.eu
Jabber: yetty@jabber.cz
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.78-98-125.t-com.sk)
Datum:   24. 12. 2009 17:23

Klucenka na hesla? To by sa mi naozaj zislo.

Vdaka za rady. Ukladanie hesiel som si v Total commander vypol, a rovno som si
to vypol aj vo Firefoxe. PC som odviroval, dufam ze mi tu uz nic take nebezi.

Este ma zaujima, ako davno sa vam to stalo. Ako to ze Firefox voci tomu nema
ochranu?
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: miro   (---.dsidata.sk)
Datum:   27. 12. 2009 12:18

mal by som zaujem o ten lieciaci kod
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.78-98-125.t-com.sk)
Datum:   27. 12. 2009 15:06

Napis mi tvoj e-mail
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: miro   (---.dsidata.sk)
Datum:   31. 12. 2009 16:30

oravec.miro@zoznam.sk
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: jakubos   (---.chello.sk)
Datum:   02. 01. 2010 16:17

mozes ho pls poslat aj mne - len pre sukromne ucely? jzilincan@w-design.sk Diky,
velmi by si mi pomohol.

Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: mato   (---.95-102-23.t-com.sk)
Datum:   02. 01. 2010 21:46

poprosim tiez na mail stupid.paris@gmail.com, dik
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: HonzaK.   (---.28.broadband11.iol.cz)
Datum:   02. 01. 2010 22:12

Take bych měl zájem o program na vyléčení - koldinskyj@gmail.com, dostal jsem se
do stejného problému...:(
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.dip.t-dialin.net)
Datum:   03. 01. 2010 13:14

Ahoj, kiez by ste mi napisali skor. Som teraz na mesiac mimo domu a lieciaci
skript mam ulozeny doma na PC.

Ale aby som vam aspon poradil. V podstate ide o to, ze treba rekurzivne prejst
cele FTP. V kazdom subore javascript a php treba odstranit skodlivy kod.

Skodlivy kod sa nachadza vzdy na konci kazdeho suboru a zacina "/* GNU GPL */"
alebo nejako podobne. Ak si otvorite zdrojovy kod nakazenej stranky, tak na
konci html budete vidiet ako presne kod vyzera.

Cize si dame podmienku if strstr($kod, "/* GNU GPL */") potom urobime
preg_replace('~'.preg_quote('/* GNU GPL */').'*~', '', $kod), to nam
odstrani skodlivy kod od /* GNU GPL */ po koniec suboru.

Moj lieciaci skript sa skladal:
subor: heal.php
funkcie:
isInfected($kod : String) : Boolean
removeVirus($kod : String) : String
healAll($cesta_k_slozke : String)

Vystupom funkcie healAll() bol maly debug kod, ktory mi vypisal kolko suborov
bolo preskenovanych, nakazenych a vyliecenych. healAll() je rekurzivna funkcia,
ktora preskenuje cele FTP a vola funkcie isInfected() a removeVirus().

Este raz opakujem, ze treba prejst vsetky php a javascript subory.

Je to velmi jednoduchy kod, ja osobne som ho v rychlosti nakodoval v priebehu 5
minut. Vyliecenie niekolko tisic suborov je otazka sekund.

Potom si nezabudnite zmenit FTP hesla vsetkych serverov, ktore ste mali ulozene
v Total Commander. A uz si ich tam nikdy neulozte.

Samozrejme treba antivirom prejst cele PC.
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: 5o   (---.dip.t-dialin.net)
Datum:   03. 01. 2010 13:18

Este dodam, ze priklady kodu nie su funkcne. Ide iba o vytvorenie predstavy ako
riesit problem. Aj menej skuseny programator je schopny nakodovad dany skript.

Kod sa da vyliecit aj bez pouzitia funkcie preg_replace() napr.: strpos() a
substr().

PHP manual-> www.php.net
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: madvad   (---.91-127-146.t-com.sk)
Datum:   12. 01. 2010 22:03

Zdravim vsetkych,

tiez som sa dostal k strankam nakazenym tymto virom, a aj vdaka tomuto foru som
sa pohol dalej (dikes).
PHP sice nie je moje hobby, ale kedze virus sa pomerne jednoducho odstranuje
(staci vymazat koniec nakazeneho suboru), pokusil som sa urobit nejaky
command-line antivirus. Po mnohych hodinach studovania a testovania prikazov
find, sed, xargs a grep som uspesne (na linuxe, ale cez cygwin by vam to mohlo
slapat aj na windowsoch) virus odstranil.

staci spustit toto na root adresari vasho webu:
grep -rlZ "^.*<script>/\*GNU GPL\*/ try{window.onload" . | xargs -0i
sed -i~infected '/^.*<script>\/\*GNU GPL\*\/ try{window.onload/,$d'
'{}'


horeuvedena hruoza (pevne dufam ze pri submite tohoto prispevku sa nepokazila)
najde rekurzivne vsetky subory ktore obsahuju retazec '<script>/*GNU GPL*/
try{window.onload' na zaciatku riadku akehokolvek suboru (nielen .php a .js,
nachadzal som to aj v index.html), nasledne tieto podhodi stream-editoru
'sed', ktory z nich urobi kopiu s priponou '~infected' a vymaze im zavireny
koniec.

Ked chcete zistit co vsetko bolo nakazene, mozte dat
find . -type f -iname "*~infected" -print


pripadne mozte zoznam zapisat do suboru 'nakazene.txt' takto
find . -type f -iname "*~infected" -print >nakazene.txt


podobnym sposobom ich potom vsetky naraz vymazete
find . -type f -iname "*~infected" -print0 | xargs -0 rm -f


That's it, enjoy :)

madvad

P.S.: ak nemate ssh pristup k adresarom kde su ulozene vase weby, ale iba ftp
pristup (tak ako to mam ja), tak si tie weby asi musite stiahnut k sebe, tam
spustit tieto hrozy a potom weby zasa uploadnut.
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: madvad   (---.91-127-146.t-com.sk)
Datum:   12. 01. 2010 22:31

este jedna poznamka: ked to spustite viac-krat za sebou, narasta tam pocet
suborov s priponou '~infected' (taky dokonaly zasa ten script nie je, ze by
pri druhom prechode obchadzal subory s priponou ~infected .. to je uz domaca
uloha pre vas sikovnych programatorov :)
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: Richard Va   (---.chello.sk)
Datum:   30. 12. 2016 20:41

Pekny vecer. Patram po nete ako vyliecit stranku od trojanu. A natrafil som na
toto forum http://www.jaknaweb.com/zapsat.php?f=1&r=189010
kde spominate ze ste uz davno tento problem riesil. Prosim ak mate este ten
lieciaci kod v PHP, budem velmi rad ak mi ho mozete poskytnut. Nechcem vymazavat
subori a zase nahadzovat nove. Bojim sa ze mi spadne stranka.
Vdaka za pomoc.
S pozdravom
Richard Vanatka
www.specialists.sk

richard.vanatka@specialists.sk
Odpovědět
 
 Re: JS/TrojanDownloader.Agent.NRL
Autor: Novák Jirk   (---.net.upcbroadband.cz)
Datum:   19. 06. 2017 22:09

Taky mám tento problém. někdo pomůže?
Odpovědět
 Reakce strukturovaně  Λ nahoru


« Copyright © 2002 - 2017  Honza Petr | Reklama - Kontakt | Připojeno přes Kraja.cz | [ochrana osobních údajů] | RSS | Mapa webu »
Partneři: | Parabola | Povinné ručení | půjčky bez potvrzení příjmu Domény a webhosting půjčky bez registru inzeráty zdarma | hosting