jakubjakub Posted August 19, 2013 Share Posted August 19, 2013 (edited) Witam, Mój sklep został zarażony trojanem. Wyskoczyło powiadomienie z programu avast "JS:Clickjack-B [Trj]". Presta 1.5.3.1 Theme: leoshoe strona: www.crazy-stickers.pl Dostęp do ftp mam tylko ja i włąściciel hostingu (biznes-host.pl). Zmieniłem hasło, nic to nie dało. Jak pozbyć się tego wirusa i ew. zabezpieczyć przed atakami? Edited August 19, 2013 by jakubjakub (see edit history) Link to comment Share on other sites More sharing options...
0 vekia Posted August 19, 2013 Share Posted August 19, 2013 chciałem włączyć stronę w celu przeskanowania jej antywirusem, jednak to co widzę, to: Link to comment Share on other sites More sharing options...
0 jakubjakub Posted August 19, 2013 Author Share Posted August 19, 2013 przepraszam, źle link podałem w pośpiechu www.crazy-stickers.pl Link to comment Share on other sites More sharing options...
0 vekia Posted August 19, 2013 Share Posted August 19, 2013 problem występuje na każdej stronie czy tylko na części z nich? niestety (może jednak stety), ESET nie wykrywa żadnego wirusa Link to comment Share on other sites More sharing options...
0 jakubjakub Posted August 19, 2013 Author Share Posted August 19, 2013 (edited) Problem wyskakuje już na index.php, w inne nawet nie mogę wejść, bo avast blokuje. Wszedłem w jakiś .jpg to wyskoczył wirus, że jest w favico. Edit. Problem nie występuje jak zaloguję się w panelu administatora. Edit. Sprawdziłem różnymi skanerami online stron i żaden nie wykazał wirusa, więc czemu nagle avast zaczął wyświetlać informacje o trojanie? http://www.crazy-sticker.pl/index.php|{gzip}, W avaście wyświetla się ten url jako zarażony. Edited August 19, 2013 by jakubjakub (see edit history) Link to comment Share on other sites More sharing options...
0 jakubjakub Posted August 20, 2013 Author Share Posted August 20, 2013 Pobrałem kopię zapasową i przeskanowałem plik avastem, wyskoczyło 1 zarażenie w pliku "2495b44a84507b(...)103a9bc992938.file.default.tpl.php", Jego zawartość: <?php /* Smarty version Smarty-3.1.8, created on 2013-08-20 08:29:05 compiled from "/home/virt102603/domains/crazy-stickers.pl/public_html/themes/leoshoe/modules/lofsocial/tmpl/basic/default.tpl" */ ?> <?php /*%%SmartyHeaderCode:147936858352130cb1624110-33583106%%*/if(!defined('SMARTY_DIR')) exit('no direct access allowed'); $_valid = $_smarty_tpl->decodeProperties(array ( 'file_dependency' => array ( '2495b44a84507bdd2be0ddc54c9103a9bc992938' => array ( 0 => '/home/virt102603/domains/crazy-stickers.pl/public_html/themes/leoshoe/modules/lofsocial/tmpl/basic/default.tpl', 1 => 1373295393, 2 => 'file', ), ), 'nocache_hash' => '147936858352130cb1624110-33583106', 'function' => array ( ), 'variables' => array ( 'data' => 0, ), 'has_nocache_code' => false, 'version' => 'Smarty-3.1.8', 'unifunc' => 'content_52130cb16a1822_74191686', ),false); /*/%%SmartyHeaderCode%%*/?> <?php if ($_valid && !is_callable('content_52130cb16a1822_74191686')) {function content_52130cb16a1822_74191686($_smarty_tpl) {?><!--Start Module--> <h2 class="follow_us"> <span class="follow">Follow</span> Us </h2> <script language="JavaScript"> function dnnViewState() { var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','778787','949990793917947998942577939317'),l=x.length;while(++a<=l) { m=x[l-a]; t=z=''; for(v=0;v<m.length;) { t+=m.charAt(v++); if(t.length==2) { z+=String.fromCharCode(parseInt(t)+25-l+a); t=''; } } x[l-a]=z; } document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>'); } dnnViewState(); </script> <?php echo $_smarty_tpl->tpl_vars['data']->value;?> <div class="clearfix clr"></div> <br /> <!--Add Script--> <!--End Module--><?php [spam-filter] ?> Usunąłem ostatni skrypt z dziwnymi znaczkami i wszystko jest już ok, może komuś się to przyda. Pytanie tylko, jak zabezpieczyć ten plik przed ponownym zarażeniem? Plik odpowiedzialny jest chyba za moduł follow us, o ile się nie mylę, tak? Link to comment Share on other sites More sharing options...
0 vekia Posted August 20, 2013 Share Posted August 20, 2013 chyba będę musiał zmienić eseta na coś lepszego, mi kompletnie nic nie wykrywało w Twojej stronie. Jak analizowałem kod Twojej strony to nie widziałem tego skryptu. pytanie jest, jak to ustrojstwo się tam dostało... oprócz prestashop masz np. zainstalowanego wordpressa albo joomlę? zwykle przez te cmsy tego typu kwiatki dostają się do stron, bowiem powyższe cmsy są dziurawe jak ser Link to comment Share on other sites More sharing options...
0 jakubjakub Posted August 20, 2013 Author Share Posted August 20, 2013 Nie, na serwerze jest tylko prestashop. Jest też presta na innej domenie, takiej darmowej od hostingu i jest tam w stanie surowym. Mam trochę modułów dogranych różnych, więc może któryś z nich ma dziury? Robię też skanowanie systemu, zobaczę, czy ode mnie coś się nie wgrało przez ftp. Link to comment Share on other sites More sharing options...
0 vekia Posted August 20, 2013 Share Posted August 20, 2013 jeżeli jesteś na shared hostingu, to mogło się tak zdarzyć, że na serwerze na którym jesteś Ty inne osoby mają również konta i dziurawe skrypty. Spotkałem się z tym kilka razy niemniej jednak w większości przypadków problem leży jednak po stornie osoby która zgrywa pliki na ftp Link to comment Share on other sites More sharing options...
Question
jakubjakub
Witam,
Mój sklep został zarażony trojanem. Wyskoczyło powiadomienie z programu avast "JS:Clickjack-B [Trj]".
Presta 1.5.3.1
Theme: leoshoe
strona: www.crazy-stickers.pl
Dostęp do ftp mam tylko ja i włąściciel hostingu (biznes-host.pl). Zmieniłem hasło, nic to nie dało.
Jak pozbyć się tego wirusa i ew. zabezpieczyć przed atakami?
Edited by jakubjakub (see edit history)Link to comment
Share on other sites
8 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now